The Hacker New 에 따르면, miniOrage가 개발한 WordPress 플러그인 두 개(Malware Scanner와 Web Application Firewall)가 Stiofan이 발견한 심각한 보안 결함인 CVE-2024-2172에 취약한 것으로 나타났습니다. CVSS 보안 취약성 점수 시스템의 10점 만점에 심각도 점수는 9.8점입니다.
이 버그는 개발자가 2024년 3월 7일에 WordPress 앱 스토어에서 삭제했지만 여전히 영향을 미칠 수 있기 때문에 Malware Scanner는 최대 10,000개의 웹사이트에 설치되어 활성화된 것으로 기록된 반면 웹 애플리케이션 방화벽의 경우 그 수가 300개에 불과합니다.
Wordfence는 이 취약점은 플러그인 코드의 검사 누락으로 인해 발생했으며, 인증되지 않은 공격자가 임의로 모든 사용자의 비밀번호를 변경하고 관리자 권한으로 권한을 상승시킬 수 있어 웹사이트가 완전히 손상될 가능성이 있다고 밝혔습니다.
가장 인기 있는 CMS 플랫폼인 WordPress는 해커들의 표적이 되고 있습니다.
해커는 관리자 권한을 이용해 추가 플러그인과 백도어가 포함된 악성 zip 파일을 쉽게 다운로드하고, 웹사이트 게시물을 수정해 사용자를 다른 악성 웹사이트로 리디렉션할 수 있습니다.
이전에 비슷한 플러그인인 RegistrationMagic이 버그 코드 CVE-2024-1991과 CVSS 점수 8.8로 보고되었는데, 이 역시 심각도가 높은 권한 상승 취약점입니다. 이 플러그인은 10,000회 이상 다운로드되어 설치되었습니다.
워드프레스는 전 세계적으로 널리 사용되는 인기 있는 오픈소스 콘텐츠 관리 시스템(CMS)입니다. 설치, 업로드, 콘텐츠 관리가 쉬운 이 CMS 플랫폼 덕분에 WordPress는 온라인 상점, 포털, 토론 포럼 등의 웹사이트에 이상적인 플랫폼이 되었습니다. w3techs 에 따르면, 현재 전 세계 웹사이트의 43.1%가 이 CMS 플랫폼을 선택하고 있습니다.
[광고2]
소스 링크
댓글 (0)