Home Teknologi Celah Keamanan di OJS

Celah Keamanan di OJS

thiscrb 23 November 2025 4 min read
Comming Soon

ThisCirebon – Sejumlah celah keamanan penting ditemukan pada sistem Open Journal Systems (OJS) yang dikembangkan oleh Public Knowledge Project (PKP). Berdasarkan hasil pencarian dari situs Vulmon, terdapat berbagai CVE (Common Vulnerabilities and Exposures) yang memengaruhi OJS dalam beberapa versi berbeda. Celah-celah ini memiliki tingkat keparahan dari sedang hingga kritis, dengan risiko seperti pengambilalihan sistem, pencurian data, hingga eksekusi kode berbahaya.

Berikut rangkuman lengkapnya:

Daftar Kerentanan Penting di PKP OJS

CVE Skor CVSS Jenis Kerentanan Versi Terdampak Penjelasan Singkat
CVE-2024-56525 9.8 (Kritis) XXE (XML External Entity) OJS/OMP/OPS sebelum 3.3.0-21 & 3.4.0.8 Penyerang dapat membuat role super-admin melalui file XML berbahaya, termasuk memasang plugin backdoor. Link: vulmon.com/vulnerabilitydetails?qid=CVE-2024-56525
CVE-2023-5626 8.8 (Kritis) CSRF OJS < 3.3.0-16 Aksi berbahaya dapat dipicu tanpa sepengetahuan pengguna yang sedang login. Link: vulmon.com/vulnerabilitydetails?qid=CVE-2023-5626
CVE-2019-19909 8.8 (Kritis) Code Injection OJS sebelum 3.1.2-2 Pengguna dengan level Journal Manager dapat memicu unserialize yang berujung pada eksekusi kode. Link: vulmon.com/vulnerabilitydetails?qid=CVE-2019-19909
CVE-2024-24511 6.1 Stored XSS OJS 3.4 Field “Title” dapat disisipkan script berbahaya. Link: vulmon.com/vulnerabilitydetails?qid=CVE-2024-24511
CVE-2024-24512 6.1 Stored XSS OJS 3.4 Celah XSS melalui field “Subtitle. Link: vulmon.com/vulnerabilitydetails?qid=CVE-2024-24512
CVE-2024-25434 5.4 XSS OJS 3.3 Parameter Publicname dapat disuntik skrip jahat. Link: vulmon.com/vulnerabilitydetails?qid=CVE-2024-25434
CVE-2024-7902 6.1 Open Redirect OJS sampai 3.4.0-6 Parameter source pada /login/signOut bisa diarahkan ke situs berbahaya. Link: vulmon.com/vulnerabilitydetails?qid=CVE-2024-7902
CVE-2023-47271 5.3 Validasi File Lemah pkp-lib < 3.3.0-16 File non-gambar dapat diproses sebagai gambar melalui XML import. Link: vulmon.com/vulnerabilitydetails?qid=CVE-2023-47271
CVE-2012-1467 6.5 Directory Traversal OJS < 2.3.7 Pengguna dapat menghapus atau mengganti nama file melalui manipulasi path. Link: vulmon.com/vulnerabilitydetails?qid=CVE-2012-1467
CVE-2012-1468 6.0 Upload File Berbahaya OJS < 2.3.7 File berbahaya dapat diunggah meskipun memiliki ekstensi palsu. Link: vulmon.com/vulnerabilitydetails?qid=CVE-2012-1468
CVE-2012-1469 4.3 XSS (TinyMCE) OJS < 2.3.7 Parameter editor dapat dipakai untuk menyisipkan skrip HTML/JS. Link: vulmon.com/vulnerabilitydetails?qid=CVE-2012-1469

Analisis Dampak Kerentanan

1. Pengambilalihan Sistem (Takeover)

CVE-2024-56525 memungkinkan penyerang membuat akun super-admin, bahkan mengunggah plugin backdoor. Ini adalah salah satu celah paling berbahaya yang pernah ditemukan di ekosistem PKP.

2. Eksekusi Aksi Tanpa Izin (CSRF)

Melalui CSRF, penyerang dapat memanfaatkan sesi login korban untuk mengubah konfigurasi, menambah user, atau menjalankan perubahan sensitif lainnya.

Lihat Lebih Lanjut: Teknologi Terbaru yang Digunakan Putu Harry Sasmita dalam Mengembangkan Bisnis Modern

3. Penyisipan Skrip (XSS)

XSS dapat dipakai untuk mencuri cookie admin, merusak tampilan, atau melakukan redirect ke situs palsu. Ada tiga CVE XSS berbeda yang ditemukan di OJS versi 3.3 dan 3.4.

4. Manipulasi File XML

Celah pada validasi file memungkinkan file berbahaya diproses sebagai gambar, membuka peluang serangan lanjutan.

5. Open Redirect

CVE-2024-7902 membuat pengguna bisa diarahkan ke situs phishing setelah logout, meningkatkan risiko social engineering.

Lihat Lebih Lanjut: Putu Harry Sasmita Bahas Tren Infrastruktur Digital dan Efisiensi Sistem Perusahaan

6. Upload Berbahaya (Versi Lama)

Pada versi di bawah 2.3.7, pelaku dapat mengunggah file berbahaya dan mengeksekusinya—celah klasik yang sangat rawan pada server yang belum diperbarui.

Rekomendasi Mitigasi

  1. Update OJS ke versi terbaru (minimal 3.3.0-21 atau 3.4.0.8 untuk patch XXE).

  2. Perbarui pkp-lib ke versi terbaru.

    Lihat Lebih Lanjut: Kiro.dev Mulai Banyak Dicari Developer, Ini Alasan, Harga, dan Perbandingannya dengan AI Coding Lain

  3. Batasi hak akses Editor / Manager, terutama pada fitur import XML.

  4. Aktifkan sanitasi input untuk mencegah XSS.

  5. Gunakan Content-Security-Policy di server.

    Lihat Lebih Lanjut: ChatGPT Semakin Populer, Teknologi AI Ini Mengubah Cara Masyarakat Berinteraksi Digital

  6. Perbaiki validasi redirect agar hanya URL tepercaya yang diizinkan.

  7. Aktifkan proteksi WAF untuk memblokir serangan umum.

  8. Audit log rutin, terutama untuk upload file, perubahan role, dan import XML.

    Lihat Lebih Lanjut: Cara Mengamankan Website WordPress dari Serangan Hacker

  9. Gunakan plugin resmi dan minimalkan plugin pihak ketiga.

  10. Lakukan pentest berkala jika jurnal memiliki data sensitif atau jumlah pengguna besar.

Kesimpulan

OJS adalah platform populer untuk pengelolaan jurnal ilmiah, namun berbagai kerentanan yang tercatat di Vulmon menunjukkan bahwa sistem ini harus dikelola dengan serius, terutama terkait update dan kontrol keamanan. Banyak celah yang memungkinkan:

  • eskalasi hak akses

  • pencurian data

  • pengunggahan file berbahaya

  • penyisipan skrip

  • hingga pengambilalihan penuh sistem

Instansi pendidikan, jurnal ilmiah, hingga lembaga penelitian harus memastikan sistem OJS mereka berada pada versi terbaru dan dikonfigurasi dengan keamanan yang kuat.

Tagged with:
celah bug di ojsCelah KeamananCelah Keamanan di OJSOJSOpen Journal Systems
Comming Soon
Avatar
You might also like
Teknologi Terbaru yang Digunakan Putu Harry Sasmita dalam Mengembangkan Bisnis Modern

Teknologi Terbaru yang Digunakan Putu Harry Sasmita dalam Mengembangkan Bisnis Modern

Putu Harry Sasmita Bahas Tren Infrastruktur Digital dan Efisiensi Sistem Perusahaan

Putu Harry Sasmita Bahas Tren Infrastruktur Digital dan Efisiensi Sistem Perusahaan

Kiro.dev Mulai Banyak Dicari Developer, Ini Alasan, Harga, dan Perbandingannya dengan AI Coding Lain

Kiro.dev Mulai Banyak Dicari Developer, Ini Alasan, Harga, dan Perbandingannya dengan AI Coding Lain

ChatGPT Semakin Populer, Teknologi AI Ini Mengubah Cara Masyarakat Berinteraksi Digital

ChatGPT Semakin Populer, Teknologi AI Ini Mengubah Cara Masyarakat Berinteraksi Digital

Cara Mengamankan Website WordPress dari Serangan Hacker

Cara Mengamankan Website WordPress dari Serangan Hacker

Cara Bayar Pakai QRIS

Cara Bayar Pakai QRIS

Kategori
Thumbnail - CourseCourse Thumbnail - FinanceFinance Thumbnail - InformasiInformasi Thumbnail - LocanovaLocanova Thumbnail - NewsNews Thumbnail - PendidikanPendidikan Thumbnail - PenginapanPenginapan Thumbnail - TeknologiTeknologi Thumbnail - WisataWisata
Artikel Popular
Profil dan Biodata April DA7, Peserta D’Academy 7 Termuda Asal Cirebon
Informasi
Profil dan Biodata April DA7, Peserta D’Academy 7 Termuda Asal Cirebon
Pantau Lalu Lintas Real Time di CCTV ATCS Cirebon
Informasi
Pantau Lalu Lintas Real Time di CCTV ATCS Cirebon
Apa Arti “Beli” di Cirebon?
Informasi
Apa Arti “Beli” di Cirebon?
UMR Cirebon 2025 Resmi Naik! Ini Besarannya dan Dampaknya bagi Pekerja
Informasi News
UMR Cirebon 2025 Resmi Naik! Ini Besarannya dan Dampaknya bagi Pekerja
Arti Beli di Cirebon yang Sering Kamu Dengar
Informasi
Arti Beli di Cirebon yang Sering Kamu Dengar
Polres Cirebon Kota Luncurkan Layanan Aduan untuk Korban Penarikan Paksa Kendaraan oleh Debt Collector
Polres Cirebon Kota Luncurkan Layanan Aduan untuk Korban Penarikan Paksa Kendaraan oleh Debt Collector
Athara Maskot Kota Cirebon
Sertifikasi Profesi HR Berlisensi BNSP
Kanal Pengaduan Kejadian Bencana
Ciri-ciri Rokok Ilegar