이 WordPress 플러그인에는 고위험 취약점이 있습니다!

다음 WordPress 튜토리얼 칼럼에서는 세 가지 WordPress 플러그인에서 발견된 고위험 취약점 상황을 소개하겠습니다. 도움이 필요한 친구들에게 도움이 되길 바랍니다!

연구원들이 세 가지 WordPress 플러그인에서 고위험 취약점을 발견했습니다

최근 WordPress 보안 회사인 Wordfence의 연구원들이 세 가지 다른 WordPress 플러그인에서 작동할 수 있고 84,000개 이상의 웹 사이트에 영향을 미칠 수 있는 심각한 취약점을 발견했습니다. 이 취약점의 실행 코드는 CSRF(Cross-Site Request Forgery) 공격인 CVE-2022-0215로 추적되며 CVSS(Common Security Vulnerability Scoring System)에서는 8.8점을 부여했습니다.

2021년 11월 5일 Wordfence 회사 인텔리전스 팀은 로그인/가입 팝업 플러그인에서 이 취약점을 처음 발견하고 공개 프로세스를 시작했습니다. 며칠 후 그들은 Cart WooCommerce(Ajax) 플러그인과 Waitlist WooCommerce(Back in Stock Notifier) ​​플러그인에서 동일한 취약점을 발견했습니다. 이 취약점을 통해 공격자는 사이트 관리자를 속여 단일 작업을 수행함으로써 손상된 웹 사이트의 모든 사이트 옵션을 업데이트할 수 있습니다.

공격자는 일반적으로 AJAX 작업을 트리거하고 해당 기능을 수행하는 요청을 작성합니다. 공격자가 사이트 관리자를 속여 링크를 클릭하거나 웹 사이트를 탐색하는 등의 작업을 수행할 수 있고 관리자가 대상 사이트에 대해 인증되면 요청이 성공적으로 전송되고 작업이 트리거됩니다. 공격자가 사이트의 임의 옵션을 업데이트합니다.

공격자는 이 취약점을 악용하여 웹 사이트의 "users_can_register"(즉, 누구나 등록할 수 있음) 옵션을 OK로 업데이트하고 "default_role" 설정(즉, 블로그에 등록된 사용자의 기본 역할)을 admin으로 설정할 수 있습니다. 침해된 웹사이트에 관리자로 등록하여 완전히 장악할 수 있습니다.

Xootix 유지 관리에 영향을 미치는 Wordfence 팀에서 보고한 세 가지 플러그인:

• 로그인/가입 팝업 플러그인(20,000회 이상 설치)

• Side Cart WooCommerce(Ajax) 플러그인(4,000회 이상 설치)

• 대기자 명단 WooCommerce(재고 알림) ​​플러그인(60,000회 이상 설치)

이 세 가지 XootiX 플러그인은 처음부터 WooCommerce 웹사이트에 향상된 기능을 제공하도록 설계되었습니다. 로그인/가입 팝업 플러그인을 사용하면 표준 웹사이트와 WooCommerce 플러그인을 실행하는 웹사이트에 로그인 및 가입 팝업을 추가할 수 있습니다. 대기자 명단 WooCommerce 플러그인을 사용하면 제품 대기자 명단 및 품절 품목 알림을 추가할 수 있습니다. Side Cart WooCommerce 플러그인은 AJAX를 통한 지원을 통해 웹사이트 어디에서나 쇼핑 바를 사용할 수 있게 해줍니다.

이 취약점과 관련하여 Wordfence 팀은 WordPress 사용자에게 웹 사이트에서 실행 중인 버전이 이러한 플러그인에 사용할 수 있는 최신 패치 버전, 즉 로그인/가입 팝업 플러그인 버전 2.3, 대기 목록 WooCommerce로 업데이트되었는지 확인하도록 특별히 상기시킵니다. 플러그인 버전 2.5.2." 및 Side Cart WooCommerce 플러그인 버전 2.1.

참조 소스:

https://securityaffairs.co/wordpress/126821/hacking/wordpress-plugins-flaws-2.html

위 내용은 이 WordPress 플러그인에는 고위험 취약점이 있습니다!의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!