WordPress 취약점 보고서: 2022년 1월, 2부

취약한 플러그인과 테마는 WordPress 웹사이트가 해킹되는 #1 이유입니다. WPScan이 제공하는 주간 WordPress 취약성 보고서는 최근 WordPress 플러그인, 테마 및 핵심 취약성과 웹사이트에서 취약한 플러그인 또는 테마 중 하나를 실행하는 경우 수행할 작업을 다룹니다.

각 취약점의 심각도는 낮음 , 보통 , 높음 또는 치명적 입니다. 취약성에 대한 책임 있는 공개 및 보고는 WordPress 커뮤니티를 안전하게 유지하는 데 필수적인 부분입니다. 이 보고서의 새로운 기능: 이제 취약점이 공개 날짜가 아닌 활성 설치 수에 따라 나열됩니다.

이 게시물을 친구들과 공유하여 모든 사람들이 WordPress를 더 안전하게 사용할 수 있도록 도와주세요 !

최신 버전의 WordPress 코어는 2022년 1월 6일에 단기 보안 릴리스로 릴리스되었습니다. WordPress 5.8.3은 보안 릴리스이므로 모든 사이트를 즉시 업데이트하는 것이 좋습니다.

WordPress.org에서 다운로드하거나 WordPress 관리 대시보드 > 업데이트를 방문하고 지금 업데이트를 클릭하여 WordPress 5.8.3으로 업데이트할 수 있습니다.

자동 백그라운드 업데이트를 활성화한 사이트가 있는 경우 이미 성공적으로 업데이트되었을 것입니다.

워드프레스 코어

취약점 : WP_Query를 통한 SQL 주입
버전: 5.8.3에서 패치됨
설명: WP_Meta_Query에 적절한 삭제가 없기 때문에 블라인드 SQL 주입이 발생할 가능성이 있습니다.

취약점 : Author+ Post Slugs를 통한 XSS 저장
버전: 5.8.3에서 패치됨
설명: WordPress 코어의 낮은 권한의 인증된 사용자(예: 작성자)는 높은 권한의 사용자에게 영향을 줄 수 있는 포스트 슬러그를 통해 JavaScript를 실행하거나 저장된 XSS 공격을 수행할 수 있습니다.

취약점 : 다중 사이트의 슈퍼 관리자 개체 주입
버전: 5.8.3에서 패치됨
설명: 다중 사이트에서 최고 관리자 역할을 가진 사용자는 개체 주입을 통해 특정 조건에서 명시적/추가적 강화를 우회할 수 있습니다.

취약점 : WP_Meta_Query를 통한 SQL 주입
버전: 5.8.3에서 패치됨
설명: WP_Meta_Query에 적절한 삭제가 없기 때문에 블라인드 SQL 주입이 발생할 가능성이 있습니다.

이 섹션에서는 최신 WordPress 플러그인 취약점이 공개되었습니다. 각 플러그인 목록에는 취약점 유형, 활성 설치, 패치된 경우 버전 번호 및 심각도 등급이 포함됩니다.

1. SVG 지원

플러그인: SVG 지원
취약점 : Admin+ 저장된 교차 사이트 스크립팅
활성 설치 : 800,000+
버전: 2.3.20에서 패치 됨
심각도 점수 : 낮음

2. 자산 정리

플러그인: 자산 정리
취약점 : AJAX Action을 통한 반사된 Cross-Site Scripting
활성 설치 : 100,000+
버전: 1.3.8.5에서 패치됨
심각도 점수 : 높음

플러그인: 자산 정리
취약점 : 반사된 교차 사이트 스크립팅
활성 설치 : 100,000+
버전: 1.3.8.5에서 패치됨
심각도 점수 : 보통

3. 유료 멤버십 프로

플러그인: 유료 멤버십 프로
취약점 : 인증되지 않은 블라인드 SQL 인젝션
활성 설치 : 100,000+
버전: 2.6.7에서 패치됨
심각도 점수 : 치명적

4. NextScripts: 소셜 네트워크 자동 포스터

플러그인: NextScripts: 소셜 네트워크 자동 포스터
취약점 : CSRF를 통한 임의 포스트 삭제
활성 설치 : 90,000+
버전: 4.3.25에서 패치됨
심각도 점수 : 보통

플러그인: NextScripts: 소셜 네트워크 자동 포스터
취약점 : 인증되지 않은 저장 XSS
활성 설치 : 90,000+
버전: 4.3.25에서 패치됨
심각도 점수 : 높음

5. 아이보리 검색

플러그인: 아이보리 검색
취약점 : Contributor+ 저장된 교차 사이트 스크립팅
활성 설치 : 80,000+
버전: 5.4.1에서 패치됨
심각도 점수 : 높음

6. 쉬운 소셜 피드

플러그인: 쉬운 소셜 피드
취약점 : 반사된 교차 사이트 스크립팅(XSS)
활성 설치 : 70,000+
버전: 6.2.7에서 패치됨
심각도 점수 : 높음

7. 비주얼 CSS 스타일 편집기

플러그인: 비주얼 CSS 스타일 편집기
취약점 : 반사된 교차 사이트 스크립팅
활성 설치 : 50,000+
버전: 7.5.4에서 패치됨
심각도 점수 : 높음

8. 문의 양식 항목

플러그인: 문의 양식 항목
취약점 : 인증되지 않은 저장된 교차 사이트 스크립팅
활성 설치 : 40,000+
버전: 1.1.7에서 패치됨
심각도 점수 : 높음

9. 고급 크론 관리자

플러그인: 고급 크론 관리자
취약점 : 구독자+ 임의 이벤트/스케줄 생성/삭제
활성 설치 : 30,000+
버전: 2.4.2에서 패치됨
심각도 점수 : 보통

10. WP법적 페이지

플러그인: WPLegalPages
취약점 : 저장된 XSS에 대한 구독자+ 임의 설정 업데이트
활성 설치 : 20,000+
버전: 2.7.1에서 패치됨
심각도 점수 : 보통

11. WP 방문자 통계(실시간 트래픽)

플러그인: WP 방문자 통계(실시간 트래픽)
취약점 : 구독자+ SQL 인젝션
활성 설치 : 20,000+
버전: 4.8에서 패치됨
심각도 점수 : 높음

12. 사악한 폴더

플러그인: 사악한 폴더
취약점 : 구독자+ SQL 인젝션
활성 설치 : 10,000+
버전: 2.8.10에서 패치됨
심각도 점수 : 높음

13. 서포트캔디

플러그인: SupportCandy
취약점 : Contributor+ 저장된 교차 사이트 스크립팅
활성 설치 : 10,000+
버전: 2.2.7에서 패치됨
심각도 점수 : 보통

플러그인: SupportCandy
취약점 : CSRF에서 Cross-Site Scripting까지
활성 설치 : 10,000+
버전: 2.2.7에서 패치됨
심각도 점수 : 보통

플러그인: SupportCandy
취약점 : CSRF를 통한 임의 티켓 삭제
활성 설치 : 10,000+
버전: 2.2.7에서 패치됨
심각도 점수 : 높음

플러그인: SupportCandy
취약점 : 인증되지 않은 임의 티켓 삭제
활성 설치 : 10,000+
버전: 2.2.7에서 패치됨
심각도 점수 : 높음

플러그인: SupportCandy
취약점 : 반사된 교차 사이트 스크립팅
활성 설치 : 10,000+
버전: 2.2.7에서 패치됨
심각도 점수 : 보통

14. 우커머스 제품 재정렬

플러그인: Woocommerce 제품 재정렬
취약점 : 구독자+ SQL 인젝션
활성 설치 : 10,000+
버전: 3.0.8에서 패치됨
심각도 점수 : 높음

15. IP2Location 국가 차단기

플러그인: IP2Location 국가 차단기
취약점 : CSRF를 통한 임의 국가 금지
활성 설치 : 10,000+
버전: 2.26.6에서 패치 됨
심각도 점수 : 보통

플러그인: IP2Location 국가 차단기
취약점 : 가입자 + 임의 국가 금지
활성 설치 : 10,000+
버전: 2.26.6에서 패치 됨
심각도 점수 : 보통

플러그인: IP2Location 국가 차단기
취약점 : Ban Bypass
활성 설치 : 10,000+
버전: 2.26.6에서 패치 됨
심각도 점수 : 보통

16. 굉장한 지원 – 워드프레스 헬프데스크 및 지원 플러그인

플러그인: 굉장한 지원 – Titan 프레임워크
취약점 : 반사된 교차 사이트 스크립팅(XSS)
활성 설치 : 10,000+
버전: 6.0.11에서 패치 됨
심각도 점수 : 높음

17. 궁극적인 제품 카탈로그

플러그인: 궁극적인 제품 카탈로그
취약점 : 구독자+ 임의 제품 생성 및 설정 업데이트
활성 설치 : 10,000
버전: 5.0.26에서 패치됨
심각도 점수 : 보통

18. 문서 임베더

플러그인: 문서 임베더
취약점 : 구독자+ 임의 비공개/임시 게시물 제목 공개
활성 설치 : 9,000+
버전: 1.7.9에서 패치됨
심각도 점수 : 보통

플러그인: 문서 임베더
취약점 : 미인증 임의 개인/초안 게시물 제목 공개
활성 설치 : 9,000+
버전: 1.7.9에서 패치됨
심각도 점수 : 보통

19. RVM - 반응형 벡터 맵

플러그인: RVM – 반응형 벡터 맵
취약점 : 가입자+임의 파일 읽기
활성 설치 : 6,000+
버전: 6.4.2에서 패치됨
심각도 점수 : 높음

20. 미디어매틱

플러그인: 미디어매틱
취약점 : 구독자+ SQL 인젝션
활성 설치 : 3,000+
버전: 2.8.1에서 패치됨
심각도 점수 : 높음

21. 우프라

플러그인: 우프라
취약점 : 인증되지 않은 임의 파일 업로드
활성 설치 : 2,000+
버전: 1.4.3.2에서 패치됨
심각도 점수 : 치명적

22. 사용자 권한 액세스 관리자

플러그인: 사용자 권한 액세스 관리자
취약점 : 접근 제한 우회
활성 설치 : 900+
버전: 1.0.8에서 패치됨
심각도 점수 : 보통

23. 유머니 버튼

플러그인: YuMoney 버튼 – Titan 프레임워크
취약점 : 반사된 교차 사이트 스크립팅(XSS)
활성 설치 : 900+
버전: 2.4.0에서 패치됨
심각도 점수 : 높음

24. WooCommerce를 위한 TrustMate.io 통합

플러그인: WooCommerce를 위한 TrustMate.io 통합
취약점 : Subscriber+ Arbitrary Plugin 설정 업데이트
활성 설치 : 300+
버전: 1.8.12에서 패치 됨
심각도 점수 : 높음

플러그인: WooCommerce를 위한 TrustMate.io 통합
취약점 : 구독자+ 임의 블로그 옵션 업데이트
활성 설치 : 300+
버전: 1.7.1에서 패치됨
심각도 점수 : 높음

25. 트루 랭커

플러그인: 트루 랭커
취약점 : Path Traversal을 통한 인증되지 않은 임의 파일 접근
활성 설치 : 300+
버전: 2.2.4에서 패치됨
심각도 점수 : 높음

26. 워드프레스용 웹호텔리어

플러그인: WordPress용 WebHotelier – Titan 프레임워크
취약점 : 반사된 교차 사이트 스크립팅(XSS)
활성 설치 : 200+
버전: 1.6.1에서 패치됨
심각도 점수 : 높음

이 섹션에서는 최신 WordPress 프리미엄 플러그인 취약점이 공개되었습니다. 각 플러그인 목록에는 취약점 유형, 패치된 경우 버전 번호 및 심각도 등급이 포함됩니다.

27. 고급 Cron Manager Pro

플러그인: 고급 Cron Manager Pro
취약점 : 구독자+ 임의 이벤트/스케줄 생성/삭제
버전: 2.5.3에서 패치됨
심각도 점수 : 보통

이 섹션에서는 폐쇄형 플러그인에서 최신 WordPress 플러그인 취약점이 공개되었습니다. 각 플러그인 목록에는 취약점 유형, 심각도 및 폐쇄 날짜가 포함됩니다.

28. 문의 양식 7 스킨

플러그인: 문의 양식 7 스킨
취약점 : 반사된 교차 사이트 스크립팅(XSS)
활성 설치 : 30,000+
버전에서 패치됨 : 알려진 수정 사항 없음
심각도 점수 : 보통

29. WooRockets 니트로

플러그인: WooRockets Nitro
취약점 : 인증되지 않은 임의 플러그인 설치
버전에서 패치됨 : 알려진 수정 사항 없음
심각도 점수 : 치명적

30. 아마존 계열사

플러그인: 아마존 계열사
취약점 : 반사된 교차 사이트 스크립팅
버전에서 패치됨 : 알려진 수정 사항 없음
심각도 점수 : 보통

이 보고서에서 볼 수 있듯이 매주 많은 새로운 WordPress 플러그인 및 테마 취약점이 공개됩니다. 보고된 모든 취약점 공개를 파악하는 것이 어려울 수 있다는 것을 알고 있으므로 iThemes Security Pro 플러그인을 사용하면 사이트에서 알려진 취약점이 있는 테마, 플러그인 또는 WordPress 코어 버전을 실행하고 있지 않은지 쉽게 확인할 수 있습니다.

연중무휴 웹사이트 보안 모니터링으로 iThemes Security Pro 받기

WordPress 보안 플러그인인 iThemes Security Pro는 일반적인 WordPress 보안 취약성으로부터 웹사이트를 보호하고 보호하는 50가지 이상의 방법을 제공합니다. WordPress, 이중 인증, 무차별 대입 보호, 강력한 암호 적용 등을 사용하여 웹 사이트에 보안 계층을 추가할 수 있습니다.

iThemes 보안 프로 받기