널리 사용되는 워드프레스 플러그인인 얼티밋 맴버(Ultimate Member)에서 20만개 이상의 사용자에 심각한 사이버 보안 위험을 초래할 수 있는 중대한 보안 결함이 발견되었다. CVE-2024-1071로 알려진 이 취약점은 CVSS 점수 10점 만점에 9.8점으로 매우 심각한 취약점이다. 이 결함을 발견하고 보고한 보안 연구원은 크리스티안 스위어스다.

이 취약점은 Ultimate Member 플러그인 2.1.3~2.8.2 버전에 존재하며, 'sorting' 매개변수를 통해 SQL 인젝션 취약점과 연결된다. 사용자가 제공한 매개변수에 대한 이스케이프가 불충분하고 기존 SQL 쿼리에 대한 준비가 미흡해 플러그인이 악용될 수있다. 특히 이 문제는 플러그인 설정에서 '사용자 메타에 사용자 지정 테이블 사용' 옵션을 활성화한 사용자에게만 영향을미친다.

이 결함을 악용하면 인증되지 않은 공격자가 기존 쿼리에 추가 SQL 쿼리를 삽입하여 데이터베이스에서 민감한 데이터를 추출할 수있다. 이러한 무단 액세스는 사용자 정보의 기밀성과 무결성에 심각한 위협이 된다.

플러그인 개발자는 2024년 1월 30일에 이 취약점을 공개한 후 2월 19일에 2.8.3 버전을 즉시 출시하여 이 취약점을 해결했다. 사용자는 잠재적인 위협을 완화하기 위해 얼티밋 멤버 플러그인을 즉시 최신 버전으로 업데이트해야 안전할 수 있다. 워드프레스 보안 업체인 워드펜스는 지난 24시간 동안 이 결함을 악용하려는 공격을 이미 한 차례 막아낸 바 있어 사태의 시급성을 강조했다.

2023년 7월에는 위협 행위자들이 악성 관리자 사용자를 생성하고 취약한 사이트의 제어권을 장악하기 위해 Ultimate Member 플러그인(CVE-2023-3460)의 유사한 익스플로잇을 적극적으로 활용해 악용한 바 있다.

이러한 보안 허점은 워드프레스 사이트를 노리는 새로운 사이버 위협으로 인한 기존의 위험을 더욱 가중시키고있다. 손상된 워드프레스 사이트를 이용해 엔젤 드레인 같은 암호화폐 탈취기를 주입하거나 방문자를 웹3 피싱 사이트로 리디렉션하는 캠페인이 급증하고 있는 상황이다. 이러한 공격은 피싱 전술과 악성 인젝션을 이용해 직접 가상화폐 지갑 상호 작용에 의존하는 Web3 생태계를 악용하며 웹사이트 소유자와 사용자 자산 모두에 심각한 위험을 초래할 수 있다.