요약 : 보안 블로그 시큐리티어페어즈에 의하면 워드프레스 생태계의 인기 플러그인인 WP멤버스(WP-Members)에서 XSS 취약점이 발견됐다고 한다. 익스플로잇에 성공할 경우 스크립트 주입 공격이 가능하게 된다. 웨버노트(Webbernaut)라는 이름으로 활동하는 보안 전문가가 문제를 제보한 것으로 알려져 있으며, 그 대가로 500달러의 버그바운티를 받았다고 한다. WP멤버스 3.4.9.2까지 버전에 영향을 주는 취약점이며, 3.4.9.3 버전으로의 업데이트가 권장되고 있다. 취약점에 CVE 번호는 따로 부여되지 않았다.


배경 : WP멤버스는 현 시점 기준 6만 개 이상의 워드프레스 웹사이트들에 설치되어 있다고 알려져 있다. 주로 가입자들의 로그인 기능을 처리한다. 워드프레스 생태계에서 발생하는 문제 대부분은 플러그인에 뿌리를 두고 있다. 다양한 플러그인으로 사이트의 기능을 자유롭게 늘렸다 줄였다 할 수 있는 게 워드프레스의 강점이기도 하지만 동시에 그 플러그인을 통해 온갖 해킹 공격 시도가 이뤄지고 있기 때문에 상황이 아이러니하다.

말말말 : “공격자는 관리자 권한을 가지고 새로운 계정을 만들 수도 있게 됩니다. 그러면 사이트 방문자들을 다른 곳으로 우회시킬 수도 있고, 그 다른 곳에서 추가 악성 행위를 실시할 수 있게 됩니다.” -워드펜스(Wordfence)-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>