You are currently viewing Bahaya! Dua Celah Baru di PHP Bisa Jebol Database & Lumpuhkan WebsiteUpdate Sekarang, Jangan Sampai Kena Serangan!

Bahaya! Dua Celah Baru di PHP Bisa Jebol Database & Lumpuhkan WebsiteUpdate Sekarang, Jangan Sampai Kena Serangan!

PHP baru saja ketahuan punya “lubang keamanan” kritis yang bisa dimanfaatin peretas buat curi data database atau jatuhin website sama sekali. Ini bukan gimmick—risikonya nyata buat siapa aja yang pakai versi PHP lawas!

Dua Musuh Baru: SQL Injection & DoS Crash

  1. CVE-2025-1735 (Kerentanan PostgreSQL):
  • Bahaya: Peretas bisa masukin perintah jahat lewat form website, lalu curi/tamper data database kamu.
  • Contoh:
    php // Contoh kode rentan (sebelum patch): $input = $_POST['username']; $escaped = pg_escape_string($input); // Ini bisa bocor kalau ada error!
    Bayangin kayak kasih kunci rumah ke maling—padahal kamu kira dia cuma mau ngirim paket. 😱
  1. CVE-2025-6491 (Kerentanan SOAP):
  • Bahaya: Website bisa crash total kalau ada yang kirim data SOAP dengan “nama namespace” gede banget (lebih dari 2GB!).
  • Contoh:
    bash curl --data "xml=<namespace SUPER-PANJANG...>" https://websitemu
    Akibatnya? Server langsung down kayak truk overload masuk gang sempit! 🚛💥

Siapa yang Kena Imbas?

  • Kamu pakai PHP versi di bawah 8.1.33, 8.2.29, 8.3.23, atau 8.4.10?
  • Punya ekstensi PostgreSQL atau SOAP aktif?
    Artinya website kamu rentan!

Gimana Cara Peretas Nge-exploit?

  • PostgreSQL Exploit:
    Mereka masukin string jahat ke form login/input data. Pas di-escape, sistem gagal ngecek error → SQL injection langsung jebol!
    Contoh serangan:

username: '; DROP TABLE users; --

  • SOAP Exploit:
    Kirim permintaan SOAP pake namespace segede gaban (misal 4GB). Server kebingungan → RAM langsung habis → crash!

Solusinya? UPDATE!

  1. Cek versi PHP kamu:
    bash php -v
  2. Upgrade ke versi aman:
  • 8.1.33
  • 8.2.29
  • 8.3.23
  • 8.4.10
  1. Restart webserver (Apache/Nginx).

Fakta Penting:

🛑 Celah PostgreSQL skornya 9.1/10 (kritis!), celah SOAP 5.9/10 (tetap bahaya!).
🛑 Peneliti keamanan dari Qatar (Ahmed Leksa) yang nemuin ini—dan dapet bounty $8.100!
🛠️ Patch sudah rilis, tapi banyak yang belum update. Jangan sampe kamu termasuk!

💡 Tips Tambahan:

  • Nonaktifkan ekstensi SOAP/PostgreSQL kalau nggak dipake.
  • Pakai firewall aplikasi (e.g., ModSecurity) buat blokir request mencurigakan.

Jangan nunda-nunda!
Kalau website e-commerce/blog/company-mu pakai PHP versi jadul, besok-besok bisa datanya dicuri atau server down tiba-tiba. Update sekarang, biar tidur tetap nyenyak! 😴✨