IT/보안 이슈

[보안 이슈] 워드프레스 권한 상승 취약점 발견

ruming 2023. 5. 16. 12:00

23.5.15

[보안뉴스 - 취약점의 보고와 같은 워드프레스 플러그인, 자꾸만 버그가 나와]

 

취약점의 보고와 같은 워드프레스 플러그인, 자꾸만 버그가 나와

워드프레스 플러그인은 웹사이트의 기능을 편리하게 늘릴 수 있게 해 준다. 여기서 편리하다는 건 기술적 지식이나 코딩 노하우가 없어도 된다는 뜻이다. 하지만 최근 수년 동안 워드프레스 플

m.boannews.com

 

워드프레스는 일반인들도 사이트를 운영할 수 있게끔 플러그인을 통해 웹사이트를 제작할 수 있는 CMS(컨텐츠 관리 시스템)이다. 홈페이지, 쇼핑몰 사이트 등 전세계적으로 많이 사용되는만큼 취약점이 뚫렸을 때 그 파급력 또한 엄청날 것이라 예상된다. 실제로 워드프레스 플러그인이 백도어 유포에 활용되어 보안 문제를 일으킨 경우도 있고. 

 

#취약점

[CVE-2023-32243]

Essential Addons for Elementor라는 플러그인이 문제가 되었다. 권한 상승 취약점으로, 비밀번호 재설정과 관련이 있다고 한다. 취약점을 이용하면 누구나 비밀번호를 재설정해 워드프레스 사이트에 로그인할 수 있다. 익스플로잇에 성공하면 공격자는 웹사이트 관리자 권한을 갖게 된다.

 

[CVE-2023-30777]

Advanced Custom Fields 플러그인에서도 또 다른 권한 상승 취약점이 발견되었다.

https://m.boannews.com/html/detail.html?mtype=1&idx=117886 

XSS 버그로, 익스플로잇에 성공하면 웹사이트의 각종 정보를 훔칠 수 있다. 23년 2월에 발견되었고, 4월에 패치되었다.

 

 

워드프레스 취약점은 지속적으로 발표되고 있다. 패치스택에서는 2022년 한 해 동안 워드프레스에서 4528개의 취약점을 발견했다고 하는데, 숫자로 들으니 훨씬 충격적이다.

 

그렇지만 워드프레스의 중요성을 알고 보안 전문가가 연구를 많이 하기 때문에 취약점이 자주 발견되는 것이고, 취약점이 나올 때마다 곧바로 패치된다고 하니 그나마 다행이다.