인기 WordPress 플러그인, 보안 취약점 발견
WordPress의 인기 플러그인 중 하나인 'All-in-One WP Migration and Backup'에서 심각한 보안 취약점이 발견되고 이를 해결하는 업데이트가 배포되었습니다. 해당 플러그인은 500만 건 이상의 설치 수를 기록한 널리 사용되는 도구로, 이번에 발견된 취약점은 긴급한 문제로 평가되었습니다.
외부 인증 없이 공격 가능하지만 제약 존재
이번에 밝혀진 취약점은 사용자 인증 없이도 웹사이트를 공격할 수 있다는 특징을 가지고 있습니다. 그러나 제한된 공격 방식으로 인해 즉각적인 피해가 제한될 수 있습니다. 해당 취약점은 보안 등급 7.5(높음)로 평가되었습니다.
취약점의 유형과 작동 방식
이번 취약점은 'unauthenticated PHP object injection'(비인증 PHP 객체 삽입)으로 분류됩니다. 다만, 일반적인 비인증 PHP 객체 삽입보다는 위험도가 낮은 것으로 분석되었습니다. 왜냐하면, 이 취약점을 악용하려면 관리자급 사용자가 플러그인을 통해 백업을 내보내거나 복원하는 과정이 필요하기 때문입니다. 플러그인은 백업 복원 과정에서 악의적인 데이터를 적절히 처리하지 않아 문제가 발생합니다.
공격으로 인한 위험과 권고 사항
취약점이 적절히 악용되는 경우, 공격자는 파일 삭제, 민감한 정보 접근, 악성 코드 실행 등의 활동을 할 수 있습니다. 보안 회사 Wordfence의 보고서에 따르면, 이 취약점은 플러그인 버전 7.89 이하 모두에 영향을 미칩니다.
모든 사용자들에게 가능한 빨리 최신 업데이트(버전 7.90)로 업그레이드할 것을 강력히 권고합니다. 최신 버전에서 이 취약점은 이미 패치되었습니다. WordPress 사이트를 사용하는 경우, 최신 보안을 유지하는 것이 필수적입니다.
출처 : 원문 보러가기
