WordPress 취약점 보고서: 2021년 12월, 2부
게시 됨: 2021-12-15취약한 플러그인과 테마는 WordPress 웹사이트가 해킹되는 #1 이유입니다. WPScan이 제공하는 주간 WordPress 취약성 보고서는 최근 WordPress 플러그인, 테마 및 핵심 취약성과 웹사이트에서 취약한 플러그인 또는 테마 중 하나를 실행하는 경우 수행할 작업을 다룹니다.
각 취약점의 심각도는 낮음 , 보통 , 높음 또는 치명적 입니다. 취약성에 대한 책임 있는 공개 및 보고는 WordPress 커뮤니티를 안전하게 유지하는 데 필수적인 부분입니다.
이 게시물을 친구들과 공유하여 소문을 퍼뜨리고 WordPress를 모두에게 더 안전하게 만들 수 있도록 도와주세요.
WordPress 뉴스: Gravatar 데이터 유출
이번 주에 고유한 아바타를 위한 글로벌 서비스인 Gravatar가 침해되었습니다. 그러나 Gravatar는 해킹이 없다고 확신합니다.
데이터가 스크랩되었으며 비밀번호 및 기타 개인 정보가 유출되지 않았기 때문에 위반이 아닙니다. 그 대신, 일반적으로 쉽게 얻을 수 없는 방식으로 공개적으로 이용 가능한 정보를 수집했습니다. 이론적으로 누군가는 해당 사용자의 이메일 주소에 액세스하기 위해 Gravatar 사용자의 사용자 이름을 알아야 합니다. 스크래핑을 통해 공격자는 사용자 이름과 이메일을 동시에 다운로드할 수 있었습니다.
WordPress 핵심 취약점
최신 버전의 WordPress 코어는 5.8.2입니다. 모범 사례로 항상 최신 버전의 WordPress 코어를 실행하십시오!
WordPress 플러그인 취약점
이 섹션에서는 최신 WordPress 플러그인 취약점이 공개되었습니다. 각 플러그인 목록에는 취약점 유형, 패치된 경우 버전 번호 및 심각도 등급이 포함됩니다.
1. 이벤트 매니저
플러그인: 이벤트 관리자
취약점 : Admin+ SQL 인젝션
버전: 5.9.8에서 패치됨
심각도 점수 : 보통
플러그인: 이벤트 관리자
취약점 : XSS(교차 사이트 스크립팅)
버전: 5.9.8에서 패치됨
심각도 점수 : 낮음
2. 불가사리의 풍부한 리뷰
플러그인: Starfish의 풍부한 리뷰
취약점 : Admin+ SQL 인젝션
버전: 1.9.6에서 패치됨
심각도 점수 : 보통
3. 타이핑봇
플러그인: Typebot
취약점 : Admin+ 저장된 교차 사이트 스크립팅
버전: 1.4.3에서 패치됨
심각도 점수 : 낮음
4. 연락처 양식 및 리드 양식 Elementor Builder
플러그인: Contact Form & Lead Form Elementor Builder
취약점 : 인증되지 않은 저장된 교차 사이트 스크립팅
버전: 1.6.4에서 패치됨
심각도 점수 : 높음
5. 다운로드 관리자
플러그인: 다운로드 관리자
취약점 : 구독자 + 저장된 교차 사이트 스크립팅
버전: 3.2.22에서 패치됨
심각도 점수 : 높음
6. WP RSS 수집기
플러그인: 구독자+ 저장된 교차 사이트 스크립팅
취약점 : Admin+ SQL 인젝션
버전: 4.19.3에서 패치 됨
심각도 점수 : 높음
7. Buttonizer - 스마트 플로팅 액션 버튼
플러그인: Buttonizer – 스마트 플로팅 액션 버튼
취약점 : Admin+ 저장된 교차 사이트 스크립팅
버전: 2.5.5에서 패치됨
심각도 점수 : 낮음
8. WP 메일 로깅
플러그인: WP 메일 로깅
취약점 : 오래된 Redux 프레임워크
버전: 1.10.0에서 패치됨
심각도 점수 : 보통
9. 스테틱
플러그인: 스테틱
취약점 : 저장된 교차 사이트 스크립팅에 대한 CSRF
버전에서 패치됨 : 알려진 수정 사항 없음 – 플러그인 종료 됨
심각도 점수 : 높음
10. 보안 문자를 사용한 문의 양식
플러그인: Captcha를 사용한 문의 양식
취약점 : 저장된 교차 사이트 스크립팅에 대한 CSRF
버전에서 패치됨 : 알려진 수정 사항 없음 – 플러그인 종료 됨
심각도 점수 : 높음
11. 멋진 지원
플러그인: 굉장한 지원
취약점 : 반사된 교차 사이트 스크립팅
버전: 6.0.7에서 패치됨
심각도 점수 : 높음
12. 아스가로스 포럼
플러그인: Asgaros 포럼
취약점 : Admin+ 저장된 교차 사이트 스크립팅
버전: 1.15.14에서 패치 됨
심각도 점수 : 낮음
13. LiteSpeed 캐시
플러그인: LiteSpeed 캐시
취약점 : 인증되지 않은 저장된 XSS에 대한 IP 확인 우회
버전: 4.4.4에서 패치됨
심각도 점수 : 높음
플러그인: LiteSpeed 캐시
취약점 : Admin+ 반영된 교차 사이트 스크립팅
버전: 4.4.4에서 패치됨
심각도 점수 : 높음
14. Zoom을 사용한 화상 회의
플러그인: Zoom을 사용한 화상 회의
취약점 : 반사된 교차 사이트 스크립팅
버전: 3.8.16에서 패치 됨
심각도 점수 : 높음
15. 우커머스용 부스터
플러그인: 우커머스용 부스터
취약점 : PDF 송장 모듈에 반영된 교차 사이트 스크립팅
버전: 5.4.9에서 패치됨
심각도 점수 : 높음
플러그인: 우커머스용 부스터
취약점 : 일반 모듈의 반영된 교차 사이트 스크립팅
버전: 5.4.9에서 패치됨
심각도 점수 : 높음
플러그인: 우커머스용 부스터
취약점 : 제품 XML 피드 모듈에 반영된 교차 사이트 스크립팅
버전: 5.4.9에서 패치됨
심각도 점수 : 높음
16. 스피드 부스터 팩
플러그인: 스피드 부스터 팩
취약점 : Admin+ SQL 인젝션
버전: 4.3.3.1에서 패치됨
심각도 점수 : 보통
17. 세상에
플러그인: OMGF
취약점 : Path Traversal을 통한 Admin+ 임의 폴더 삭제
버전: 4.5.12에서 패치 됨
심각도 점수 : 보통
18. 카오스
플러그인: CAOS
취약점 : Path Traversal을 통한 Admin+ 임의 폴더 삭제
버전: 4.1.9에서 패치됨
심각도 점수 : 보통
19. WP 여행 엔진
플러그인: WP 여행 엔진
취약점 : Editor+ 저장된 Cross-Site Scripting
버전: 5.3.1에서 패치됨
심각도 점수 : 낮음
20. 모니터 다운로드
플러그인: 모니터 다운로드
취약점 : Admin+ SQL 인젝션
버전: 4.4.5에서 패치됨
심각도 점수 : 보통
21. 모기지 계산기 / 대출 계산기
플러그인: 모기지 계산기 / 대출 계산기
취약점 : Contributor+ 저장된 교차 사이트 스크립팅
버전: 1.5.17에서 패치 됨
심각도 점수 : 보통
22. WooCommerce의 변형 견본
플러그인: WooCommerce용 변형 견본
취약점 : 구독자 + 저장된 교차 사이트 스크립팅
버전: 2.1.2에서 패치됨
심각도 점수 : 높음
23. ClickBank 제휴 광고
플러그인: ClickBank 제휴 광고
취약점 : 저장된 교차 사이트 스크립팅에 대한 CSRF
버전에서 패치됨 : 알려진 수정 사항 없음 – 플러그인 종료 됨
심각도 점수 : 높음
플러그인: ClickBank 제휴 광고
취약점 : Admin+ 저장된 교차 사이트 스크립팅
버전에서 패치됨 : 알려진 수정 사항 없음 – 플러그인 종료 됨
심각도 점수 : 낮음
24. 고급 사용자 정의 필드
플러그인: 고급 사용자 정의 필드
취약점 : 가입자 + 임의 ACF 데이터/필드 그룹 보기 및 필드 이동
버전: 5.11에서 패치됨
심각도 점수 : 보통
25. 칸토
플러그인: 칸토
취약점 : 인증되지 않은 블라인드 SSRF
버전에서 패치됨 : 알려진 수정 사항 없음
심각도 점수 : 보통
26. 올인원 갤러리
플러그인: 올인원 갤러리
취약점 : Admin+ 로컬 파일 포함
버전: 2.5.0에서 패치됨
심각도 점수 : 낮음
취약한 플러그인 및 테마로부터 WordPress 웹사이트를 보호하는 방법
이 보고서에서 볼 수 있듯이 매주 많은 새로운 WordPress 플러그인 및 테마 취약점이 공개됩니다. 보고된 모든 취약점 공개를 파악하는 것이 어려울 수 있다는 것을 알고 있으므로 iThemes Security Pro 플러그인을 사용하면 사이트에서 알려진 취약점이 있는 테마, 플러그인 또는 WordPress 코어 버전을 실행하고 있지 않은지 쉽게 확인할 수 있습니다.
1. iThemes Security Pro 플러그인 설치
iThemes Security Pro 플러그인은 웹사이트가 해킹당하는 가장 일반적인 방법에 대해 WordPress 사이트를 강화합니다. 사용하기 쉬운 플러그인 하나로 사이트를 보호하는 30가지 이상의 방법이 있습니다.
2. 사이트 스캔을 활성화하여 알려진 취약점 확인
iThemes Security Pro의 버전 관리 기능은 사이트 스캔과 통합되어 사이트를 보호합니다. 취약한 테마, 플러그인 및 WordPress 핵심 버전은 자동으로 업데이트됩니다.
3. 파일 변경 감지 활성화
보안 침해를 신속하게 감지하는 핵심은 웹사이트의 파일 변경 사항을 모니터링하는 것입니다. iThemes Security Pro의 파일 변경 감지 기능은 웹사이트의 파일을 스캔하고 웹사이트에 변경 사항이 발생하면 알려줍니다.
연중무휴 웹사이트 보안 모니터링으로 iThemes Security Pro 받기
WordPress 보안 플러그인인 iThemes Security Pro는 일반적인 WordPress 보안 취약성으로부터 웹사이트를 보호하고 보호하는 50가지 이상의 방법을 제공합니다. WordPress, 이중 인증, 무차별 대입 보호, 강력한 암호 적용 등을 사용하여 웹 사이트에 보안 계층을 추가할 수 있습니다.
