안녕하세요. 카페24 입니다.

카페24 를 이용해 주시는 고객님께 감사의 말씀을 드립니다.

WordPress 제품 보안 업데이트 권고 내용을 안내 드립니다.

자세한 사항은 아래 내용을 참고 부탁드립니다.

■ 대상

- 워드프레스 상품군 전체

※ 10G 광아우토반도 대상이기는 하나 버전별로 상이하기 때문에 대상에 포함하기는 어려운 부분이 있으니 참고하시기 바랍니다.

■ 개요

- 워드프레스 플러그인 WP Fastest Cache는 SQL 인젝션 취약점에 노출되어 있으며, 인증되지 않은 공격자가 사이트의 데이터베이스 내용을 읽을 수 있습니다.

- 이 플러그인은 페이지 로드 속도를 높이고 방문자 경험을 개선하며 구글 검색 순위를 높이기 위해 사용되는 캐싱 플러그인입니다.

■ 설명

- 이 취약점은 플러그인 내의 'is_user_admin' 함수에 영향을 받으며, 이 함수는 쿠키에서 '$username' 값을 추출하여 사용자가 관리자인지 확인하는 데 사용됩니다.

- '$username' 입력이 충분히 검증되거나 정제되지 않았기 때문에, 공격자는 이 쿠키 값을 조작하여 플러그인이 실행하는 SQL 쿼리를 변경할 수 있습니다.

- 이로 인해 데이터베이스에 대한 무단 접근이 가능해집니다.

■ 영향 받는 버전

- 이 취약점은 WP Fastest Cache 1.1.2 버전 이하에서 발견되었습니다.

■ 해결 방안

- WP Fastest Cache 개발자는 1.2.2 버전에서 수정을 제공했습니다.

- 이 플러그인의 모든 사용자들은 가능한 한 빨리 최신 버전으로 업그레이드할 것을 권장합니다.

■ 참고사이트:

1. https://wordpress.org/plugins/wp-fastest-cache/#developers

2. https://nvd.nist.gov/vuln/detail/CVE-2023-1375