가입만 마치면 사이트의 데이터베이스와 모든 파일 삭제할 수 있어

요약 : 워드프레스 플러그인에서 심각한 취약점이 발견됐다. 문제의 플러그인은 해시테마 데모 임포터(Hashthemes Demo Importer)로 취약점 익스플로잇에 성공할 경우 사이트의 거의 모든 콘텐츠를 사용자가 삭제할 수 있게 된다. 다만 공격자는 인증 과정을 통과해야 한다. 즉, 사이트 구독자라면 이 공격을 실시할 수 있게 된다는 뜻이다.


배경 : 해시테마 데모 임포터는 사이트 관리자가 테마 적용을 클릭 한 번으로 간편하게 할 수 있게 해 주는 플러그인이다. 취약점이 발견된 건 8월 25일인데 9월 20일까지 아무런 대응을 하지 않았다고 한다. 그래서 워드프레스는 리포지터리에서 해당 플러그인을 삭제했다.

말말말 : “데이터베이스를 모조리 지우고 삭제할 수 있게 해 주는 취약점입니다. 사이트 관리자들이 평소 백업을 해 두는 것이 얼마나 중요한지를 드러내는 취약점이기도 합니다.” -릭 홀란드-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>