-
워드프레스 사이트 통계 내주는 플러그인에서 XSS 취약점 발견IT News 2019. 7. 24. 09:54
* 본 기사는 아래 Notion 사이트에 정리되어 있습니다.
- Notion 사이트 URL :https://www.notion.so/byounghee88/XSS-c4ff9b5533274f45a83369c2cce4391e
워드프레스 사이트 통계 내주는 플러그인에서 XSS 취약점 발견
워드프레스 사이트 통계 내주는 플러그인에서 XSS 취약점 발견
www.notion.so
워드프레스 사이트 통계 내주는 플러그인에서 XSS 취약점 발견
- 기사 본문 : https://www.boannews.com/media/view.asp?idx=81219
워드프레스 사이트 통계 내주는 플러그인에서 XSS 취약점 발견
워드프레스의 플러그인 중 하나인 WP 스태티스틱스(WP Statistics)가 웹사이트 전체 장악을 가능하게 해주는 XSS 취약점을 발견해 패치했다. 해당 취약점을 패치하지 않은 상태에서 특정한 조건에 맞게 웹사이트를 운영하면 공격자가 피해자의 웹사이트를 운영할 수 있게 된다.
www.boannews.com
- 기사 요약
워드프레스 사이트 통계 내주는 플러그인에서 XSS 취약점이 발견되었다.
WP 스태티스틱스 플러그인은 방문자 수 변화 추이 등 웹사이트 운영에 있어 필요한 통계를 내게 해주는 플러그인으로, 현재까지 50만 번 이상 다운로드 됐다.
플러그인에서 IP 주소로 통용되는 형태의 데이터만 받아들여야 하는데, 다른 값도 통과시키는 취약점을 통해 악성코드를 주입/실행 시킬 수 있으며, 취약한 버전은 12.6.7 이전 버전이다.
해당 XSS 취약점이 발생되기 위한 조건 2가지는 다음과 같으며, 대응방법으로는 최신 버전인 12.6.7.로 업그레이드하는 방법이 존재한다.
- 공격 대상 웹사이트가 방문자의 IP 주소 식별을 위해 헤더를 사용해야 함
- 공격 대상 웹 사이트가 우회 가능한 방화벽을 사용해야 함
- 개인 의견
워드프레스는 전 세계적으로 사용하는 오픈 소스인 만큼 해당 XSS 취약점에 대한 피해가 클 것으로 예상된다. 또한 워드프레스의 경우에는 타 사이트에 비해 업데이트가 자주 이루어지므로, 플러그인을 많이 사용하는 웹 사이트 담당자는 신경을 더 써야할 것이다.
- 관련 기사
· '만만한 타깃' 워드프레스 보안 강화 툴·방법 총정리
· 워드프레스에서 발견된 취약점 통해 웹사이트 장악 가능
'IT News' 카테고리의 다른 글
ISMS 의무화 대상 42개 대학교 현황 분석... 인증 취득 14곳에 불과 (0) 2019.07.29 2년 전 발견된 '한글 취약점'..."기업·공공기관 여전히 당한다" (0) 2019.07.28 인터넷은행 인가 10월 재추진…금융위 '입김' 커진다 (1) 2019.07.19 정부, 공공기관 'SW 개발 보안' 요구 강화한다 (0) 2019.06.25 떠오르는 IoT 해킹, 이제 ‘사이버 경계벽’이 막는다 (0) 2019.06.24