The Hacker New 에 따르면, miniOrage의 두 가지 WordPress 플러그인인 Malware Scanner와 Web Application Firewall이 Stiofan이 발견한 심각한 보안 결함인 CVE-2024-2172에 취약한 것으로 나타났습니다. 이 결함은 CVSS 보안 취약성 점수 시스템의 10점 만점 척도에서 심각도 점수가 9.8점입니다.

이 버그는 개발자가 2024년 3월 7일에 WordPress 앱 스토어에서 삭제했지만 여전히 영향을 미칠 수 있습니다. Malware Scanner가 최대 10,000개의 웹사이트에 설치되어 활성화된 것으로 기록된 반면, 웹 애플리케이션 방화벽의 경우 그 수가 300개이기 때문입니다.

Wordfence는 이 취약점은 플러그인 코드의 검사 누락으로 인해 발생하며, 인증되지 않은 공격자가 임의로 모든 사용자의 비밀번호를 업데이트하고 관리자 권한으로 권한을 상승시킬 수 있어 웹사이트가 완전히 손상될 가능성이 있다고 밝혔습니다.

해커는 관리자 권한을 이용해 추가 플러그인과 백도어가 포함된 악성 zip 파일을 쉽게 다운로드하고, 웹사이트 게시물을 수정해 사용자를 다른 악성 웹사이트로 리디렉션할 수 있습니다.

이전에 비슷한 플러그인인 RegistrationMagic이 버그 코드 CVE-2024-1991과 CVSS 점수 8.8로 보고되었는데, 이 역시 심각도가 높은 권한 상승 취약점입니다. 이 플러그인은 10,000회 이상 다운로드되어 설치되었습니다.

WordPress는 전 세계적으로 널리 사용되는 인기 있는 오픈소스 콘텐츠 관리 시스템(CMS)입니다. 이 CMS 플랫폼에서는 설치, 업로드, 콘텐츠 관리가 쉽기 때문에 WordPress는 온라인 상점, 포털, 토론 포럼 등의 웹사이트에 이상적인 플랫폼입니다. w3techs 에 따르면, 현재 전 세계 웹사이트의 43.1%가 이 CMS 플랫폼을 선택하고 있습니다.