[웹] WordPress 플러그인의 주요 결함으로 인해 400만 개의 웹사이트가 위험에 빠짐

  • RSS(Really Simple Security)라는 인기 있는 WordPress 보안 플러그인에는 공격자가 인증을 우회할 수 있는 주요 결함이 있습니다.
  • 위협 점수가 9.8/10인 이 결함을 통해 공격자는 관리자 권한으로 사이트에 들어가 원하는 모든 변경 작업을 수행할 수 있습니다.
  • 이 결함은 아직 수정되지 않았지만 Wordfence라는 또 다른 WordPress 보안 플러그인은 가능한 한 많은 공격을 차단해 왔습니다.
WordPress 플러그인의 주요 결함으로 인해 400만 개의 웹사이트가 위험에 빠짐

인기 있는 WordPress 보안 플러그인에서 새로 발견된 취약점이 발견되었습니다. 4백만 개의 웹사이트가 위험에 처해 있습니다.

이 플러그인은 Really Simple Security라고 불리며 2015년에 처음으로 Simply SSL로 출시되었습니다. 초기 목적은 간단했습니다. WordPress 사이트를 HTTPS/SSL로 마이그레이션할 수 있습니다..

이후 외부 공격으로부터 웹사이트를 보호하는 본격적인 보안 솔루션으로 개발되어 이중 인증, 결함 감지, SSL 인증서 생성.

이 플러그인이 웹사이트 소유자들 사이에서 인기를 얻은 이유는 다음과 같습니다. 가벼웠어요. 사이트에 원하는 보안 기능을 선택할 수 있으며 나머지는 웹 사이트가 로드되지 않고 속도가 느려지는 방식으로 비활성화됩니다.

그리고 지금까지 놀라운 평가를 받았습니다. 이상 WordPress 저장소의 리뷰 중 97%는 별 5개입니다. 리뷰 중 단 1%만이 별점 1점을 받았습니다.

결함 정보: 무엇이 잘못되었나요?

한 해 동안 완벽한 성능을 제공한 후 플러그인은 다음과 같은 주요 결함에 직면했습니다. 9.0.0에서 9.1.1.1까지의 모든 버전에 영향을 미칩니다..

이 결함으로 인해 모든 사용자는 관리자로 로그인할 수 있으며 사이트 수준 권한을 포함하여 사이트에 대한 전체 액세스 권한을 얻습니다.. 공격자가 해야 할 일은 로그인하려는 특정 사용자의 사용자 이름을 아는 것뿐입니다.

이러한 종류의 결함을 인증되지 않은 액세스 취약점이라고 합니다. 이는 인증되지 않은 가장 심각한 종류의 취약점 중 하나입니다. 위협 점수 10점 만점에 9.8점.

공격자가 사이트를 성공적으로 손상시키는 데 성공하면 그 결과는 엄청날 수 있습니다. 그들은 어쩌면 악성코드 주입 그것에 침입하여 접촉하는 모든 사용자를 공격하거나 사용자 데이터를 훔치고 유해한 콘텐츠를 유포합니다..

WordPress의 또 다른 보안 플러그인인 Wordfence도 이 문제를 해결했습니다. 이 취약점의 원인을 설명하면서 다음과 같은 이유로 인해 발생했을 가능성이 있다고 말했습니다.부적절한 사용자 확인 오류 처리 'check_login_and_get_user' 기능을 사용하여 2단계 REST API 작업에서'

그동안 플러그인에도 지난 24시간 동안 310건의 공격을 차단했습니다. Real Simple Security 사용자에게 9.1.2 버전 이상으로 업데이트할 것을 촉구했습니다.

Google 뉴스피드에 Techreport 추가

최신 업데이트, 동향, 통찰력을 손끝으로 직접 받아보세요. 지금 구독하세요!

지금 구독하세요

크리시 차우다리크리시 차우다리

Krishi는 열정적인 기술 저널리스트이자 B2B 및 B2C 콘텐츠 작가로서 기업의 소프트웨어 구매 프로세스를 보다 쉽게 ​​만들고 온라인 인지도와 SEO를 향상시키는 데 중점을 두고 있습니다. Krishi는 기술 뉴스 작성, CRM(고객 관계 관리) 소프트웨어에 대한 교육 콘텐츠 작성, 중소기업의 수익 증대에 도움이 되는 프로젝트 관리 도구 추천 등의 특별한 기술을 보유하고 있습니다. 글쓰기 및 블로그 작업 외에도 Krishi의 다른 취미로는 금융 시장 및 크리켓 연구 등이 있습니다.

Krishi Chowdhary의 모든 기사 보기

기술 보고서 ​​편집 정책은 독자에게 실질적인 가치를 제공하는 유용하고 정확한 콘텐츠를 제공하는 데 중점을 두고 있습니다. 우리는 기술의 최신 개발, 온라인 개인 정보 보호, 암호화폐, 소프트웨어 등을 포함하여 다루는 주제에 대한 구체적인 지식을 가진 숙련된 작가들과만 작업합니다. 우리의 편집 정책은 사내 편집자들이 각 주제를 연구하고 선별하도록 보장합니다. 우리는 엄격한 저널리즘 기준을 유지하며 모든 기사는 100% 실제 작가가 작성했습니다.


출처 : techreport.com