WordPress 제품 보안 업데이트 권고(2023/11/16)
안녕하세요, 카페24 호스팅센터입니다.
WordPress 제품 보안 업데이트 권고 내용을 안내드립니다.
1. 취약점 상세 내용
취약점 정보
- 취약점 유형: SQL 인젝션
- 영향받는 제품: 워드프레스 플러그인 WP Fastest Cache
- 심각도: 높음
취약점 설명
- SQL 인젝션 취약점: 인증되지 않은 공격자가 사이트의 데이터베이스 내용을 읽을 수 있음
- 영향받는 함수: 플러그인 내의 'is_user_admin' 함수
- 공격 시나리오:
- 이 함수는 쿠키에서 '$username' 값을 추출하여 사용자가 관리자인지 확인하는 데 사용됨
- '$username' 입력이 충분히 검증되거나 정제되지 않았기 때문에, 공격자는 이 쿠키 값을 조작하여 플러그인이 실행하는 SQL 쿼리를 변경할 수 있음
- 이로 인해 데이터베이스에 대한 무단 접근이 가능해짐
영향받는 소프트웨어
- 영향받는 버전: WP Fastest Cache 1.1.2 버전 이하
- 대상: 워드프레스 상품군 전체
- 주의사항: 10G 광아우토반도 대상이기는 하나 버전별로 상이하기 때문에 대상에 포함하기는 어려운 부분이 있으니 참고하시기 바랍니다.
2. 보안 조치 권고사항
해결 방안
- 최신 버전으로 업데이트: WP Fastest Cache 개발자는 1.2.2 버전에서 수정을 제공
- 업데이트 권장: 이 플러그인의 모든 사용자들은 가능한 한 빨리 최신 버전으로 업그레이드할 것을 권장
즉시 조치사항
- 영향받는 WP Fastest Cache 플러그인을 사용 중인 경우, 즉시 1.2.2 버전으로 업그레이드하시기 바랍니다.
- 공격자가 해당 취약점을 악용하여 피해를 발생시킬 수 있으므로, 지연 없이 보안 업데이트를 적용하시기 바랍니다.
3. 참고사항
문의처
- 한국인터넷진흥원 사이버민원센터: 국번없이 118
참고사이트
더 나은 서비스를 제공하기 위해 항상 노력하겠습니다.
감사합니다.