2024-03-28 18:55 (목)
워드프레스 플러그인에 존재하는 치명적 취약점…3만개 이상 사이트 해킹 위험
상태바
워드프레스 플러그인에 존재하는 치명적 취약점…3만개 이상 사이트 해킹 위험
  • hsk 기자
  • 승인 2020.05.20 18:21
이 기사를 공유합니다

공격자가 WP Product Review Lite 워드프레스 플러그인에 존재하는 치명적인 취약점을 악용해 악성 코드를 주입, 잠재적으로 취약한 웹 사이트를 인수할 수 있다는 사실이 밝혀졌다. 패치가 공개됐지만 여전히 3만여 개 사이트는 패치를 적용하지 않아 위험한 상황이다.

사이트 소유자는 사전 정의된 템플릿을 사용해 사용자 리뷰 기사들을 신속히 작성할 수 있으며, 이 기능은 현재 4만개 워드프레스 사이트에 설치되어 있다. 해당 취약점은 수쿠리 랩 연구원들에 의해 발견되었고, 인증되지 않은 원격 공격자에 의해 악용될 수 있는 영구적인 XSS 취약점이다.

수쿠리 랩이 발표한 분석글은 “수쿠리 방화벽에 대한 정기 검사 과정에서 4만명 이상 WP Product Review 플러그인 사용자에게 영향을 주는 Stored XSS를 발견했다. 모든 사용자 입력 데이터는 삭제되지만 HTML 속성 내에 매개 변수를 설정하면 사용된 워드프레스 기능을 무시할 수 있다. 공격이 성공하면 모든 사이트 제품에 악성 스크립트가 삽입된다.”고 설명했다.

공격자는 워드프레스 사용자 입력 데이터 삭제 기능을 우회해 Stored XSS 문제를 악용할 수 있다. 결함을 유발하면 공격자는 대상 웹 사이트의 데이터베이스에 저장된 모든 제품에 악성 스크립트를 삽입할 수 있다. 사이트 관리자가 손상된 제품에 접근하도록 속인 다음 해당 제품을 악성 사이트로 리디렉션하거나 관리자를 대신하여 인증하기 위한 세션 쿠키를 훔칠 수 있다.

★정보보안 대표 미디어 데일리시큐!★

◇상반기 최대 개인정보보호&정보보안 컨퍼런스 G-PRIVACY 2020 개최
-날짜: 2020년 5월 28일
-장소: 더케이호텔서울 2층 가야금홀
-참석: 공공·금융·기업 개인정보보호 및 정보보안 책임자·실무자
-교육이수: 7시간 인정
-사전등록: 사전등록 클릭
-보안기업 참가문의: 데일리시큐 길민권 기자 / mkgil@dailysecu.com

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★