워드프레스 사이트의 유명 플러그인, 취약점 나왔지만 아직 패치 없어

요약 : 보안 외신 해커뉴스에 의하면 약 20만 개의 워드프레스 웹사이트들이 현재 진행되고 있는 익스플로잇 공격에 노출되어 있다고 한다. 얼티밋멤버(Ultimate Member)라는 인기 높은 플러그인에서 발견된 취약점 때문이다. 문제의 취약점은 CVE-2023-3460으로, CVSS 기준 9.8점을 받았고, 6월 29일자로 패치가 완료돼 배포되기 시작했다. 이 취약점을 통해 공격자는 새로운 관리자 계정을 만들 수 있으며, 사이트를 완전히 장악할 수 있게 된다. 아직 패치가 나오지 않았다.


배경 : 플러그인의 개발사는 2.6.4, 2.6.5, 2.6.6 버전을 차례로 내놓으면서 문제의 해결을 시도했으나 온전한 패치가 없었다. 이를 인지하고 수일 안에 새로운 패치를 개발할 것이라고 발표하기도 했으며, 2.6.7 버전이 7월 1일자로 발표됐다. 아직 이 버전에 대하여 문제를 제기한 보안 회사는 없다.

말말말 : “패치가 불안하여 해당 취약점의 기술 정보가 세부적으로 공개되지는 않았지만 블록리스트에 올라와 있는 것들을 차단하는 논리 구조와 관련된 것으로 보입니다.” -WP스캔(WPScan)-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>