WordPress 취약점 뉴스, 2021년 11월

게시 됨: 2020-11-06

11월 WordPress 취약점 뉴스
워드프레스 취약점이란 워드프레스의 약점을 의미합니다. 11월 WordPress 취약점 뉴스 게시물에서는 2020년 10월과 2020년 11월에 발견된 WordPress 취약 플러그인 및 WordPress 보안 문제에 중점을 둘 것입니다.

보안의 가장 중요하고 중요한 부분은 WordPress 및 기타와 같은 CMS의 보안 취약점을 지속적으로 업데이트하는 것입니다.

이것이 우리가 취약한 플러그인과 최근에 밝혀진 취약점을 분석하여 WordPress에 대해 보호되지 않는 플러그인 및 업데이트를 사용하지 않음으로써 웹사이트가 원활하게 실행되도록 보장하는 이유입니다.

WebARX 웹 응용 프로그램 방화벽을 사용하는 경우 웹 사이트는 모든 보안 문제 및 취약성으로부터 안전합니다. 그러나 웹사이트를 안전하게 만드는 가장 좋은 대안은 웹사이트에서 보호되지 않는 플러그인을 제거하거나 업데이트하는 것입니다.

WordPress 취약점 뉴스, 2020년 10월

워드프레스 + 마이크로소프트 오피스 365

워드프레스 + 마이크로소프트 오피스 365

WordPress 웹사이트에 액세스하기 위해 사용자는 WPO365|LOGIN을 사용하여 학교 또는 기업 계정으로 로그인할 수 있습니다. 암호 및 사용자 이름이 필요하지 않습니다. 또한 웹 사이트에서 SMTP를 사용하는 대신 Microsoft Graph의 도움으로 전자 메일을 보낼 수 있습니다.

취약점: JWT 서명 확인 우회
버전: 11.7에서 해결됨
영향을 받는 총 웹사이트: 1000개 이상

이 플러그인은 JWT 서명을 확인하지 않고, 권한 부여 확인을 허용하고, 인증을 우회하고, 공격자가 토큰을 형성하도록 허용하지 않습니다.

10Web의 슬라이더

10Web의 슬라이더

Slider by 10Web은 테마 헤더, 웹사이트의 게시물 및 페이지 또는 기타 위치에 반응형, 빠른 로딩 및 SEO 친화적인 슬라이더를 추가하는 대안 방법입니다.

이 플러그인은 비디오 및 이미지와 호환되며 두 콘텐츠를 슬라이드에 추가할 수 있습니다. 다양한 전환 효과를 매우 쉽게 추가할 수 있습니다.

취약점: 다중 인증 SQL 인젝션
버전: 1.2.36에서 해결됨
영향을 받는 총 웹사이트: 50,000개 이상

이 플러그인의 두 가지 취약한 기능은 save_slider_db와 bulk_action, export_full입니다. 이 두 가지 기능은 승인된 사용자 또는 관리자 또는 기고자+ '역할 옵션'과 같은 매체를 허용하며 다른 사용자가 SQL 주입으로 알려진 공격을 실행하도록 설정되어 있다고 가정합니다.

PoC의 선언 날짜는 사용자에게 시간별로 업데이트를 제공하는 2020년 10월 13일이었습니다.

WP 과정

WP 과정 LMS

WP Courses는 LMS에서 드래그 앤 드롭 도구, 직관적인 인터페이스, 비디오 자습서 등을 사용하여 웹사이트에서 코스를 관리하고 생성하는 데 사용할 수 있는 WordPress 무료 플러그인입니다. 이 플러그인에는 900개 이상의 활성 설치가 있습니다.

이 플러그인은 원활하게 작동하므로 다른 템플릿과 함께 추가할 수 있습니다. 또한 귀하의 비전과 웹 사이트 디자인을 일치시키는 데 도움이 되는 많은 옵션이 함께 제공됩니다. 이 플러그인은 코딩이나 기술 지식이 필요하지 않으므로 탐색하기 쉽습니다.

취약점: 액세스 제어가 깨져 코스 콘텐츠 공개로 이어짐
버전: 2.0.29에서 해결됨
영향을 받는 총 웹사이트: 20,000개 이상

WordPress REST API에 의해 WP 과정의 문제로 인해 모든 사람이 과정을 사용할 수 있게 될 수 있습니다.

단순: 보도

심플 프레스

귀하의 WordPress 웹사이트에서 Simple: Press는 포럼 소프트웨어입니다. 몇 가지 추가 기능으로 포럼을 쉽게 시작할 수 있습니다. 보안 모델과 WordPress 사용자 모델에 통합되어 최대 수천 명의 사용자를 키울 수 있습니다.

다른 포럼 플러그인에도 불구하고 이 플러그인의 기능은 조직에서 만들고 지원합니다. 이 옵션은 제거 또는 제거, WordPress 로그인 및 등록과 통합, 회원 구독 플러그인과 통합 등을 위해 사용할 수 있습니다.

취약점: 접근 통제가 깨져 RCE로 이어짐
버전: 6.6.1에서 해결됨
영향을 받는 총 웹사이트: 600개 이상

Simple: Press 플러그인의 깨진 액세스 제어 문제가 수정되어 6.6.0 버전 이하에 영향을 미쳤습니다.

XCloner 플러그인

XCloner 플러그인

이 플러그인은 WordPress 웹사이트를 복원하고 백업하는 데 도움이 됩니다.

취약점: 사이트 간 요청 위조
버전: 4.2.13에서 해결됨
영향을 받는 총 웹사이트: 30,000개 이상

웹사이트 백업은 Google 드라이브, SFTP, Amazon, Dropbox, Backblaze 및 기타 위치로 보낼 수 있습니다. 자동 또는 수동으로 XCloner에 내장된 스케줄러로 백업을 생성할 수 있습니다.

XCloner는 WordPress 코어의 자동 업데이트, 테마, 플러그인 또는 언어 파일 직전에 테마, 코어, 플러그인, 언어 파일 백업을 생성하는 것과 같은 다양한 안전 기능을 XCloner에서 제공합니다. 안전한 웹사이트와 개인 정보를 찾는 사람들은 XCloner를 선택해야 합니다.

여러 파일 업로드 끌어서 놓기 – 문의 양식 7

드래그 앤 드롭 여러 파일 업로드

이 플러그인은 사용하기 쉽고 특히 연락처 양식 7을 위한 간단한 확장입니다. 이 플러그인을 사용하면 끌어서 놓기 기능을 사용하여 다른 파일을 추가할 수 있습니다. 웹 양식의 공통 찾아보기 파일을 추가할 수도 있습니다.

이 플러그인의 기능은 파일 업로드 수, 모든 필드에 대한 파일 크기 제한, 모바일 응답, 모든 브라우저 지원, 다국어 지원, 멋진 진행률 표시줄, 끌어서 놓기 기능, 파일 크기 유효성 검사, 파일 형식 유효성 검사, 등등.

취약점: 검증되지 않은 원격 코드 실행
버전: 1.3.5.5에서 해결됨
영향을 받는 총 웹사이트: 20,000개 이상

이 도구는 업로드를 허용하지 않는 위험한 파일 확장자의 블랙리스트를 사용합니다. 그러나 .phpt 및 .phar 확장자는 임의의 PHP 코드를 추가하는 데 사용할 수 없는 블랙리스트에 없었습니다.

CSRF 공격에 대한 취약성과 함께 25개 이상의 WordPress 플러그인이 더 발견되었습니다.

  • 유료 멤버십 프로
  • 쿠폰 생성기
  • 퍼너 빌더
  • 분류를 위한 라디오 버튼
  • 멋진 타임라인
  • 쉬운 평가
  • 도칸
  • Feedly의 RSS 수집기
  • WP 호텔 예약
  • WP 프로젝트 관리자 등.

관련 게시물:다음 웹사이트에서 선택할 수 있는 프로젝트를 위한 최고의 무료 WordPress 테마

WordPress 취약점 뉴스, 2020년 11월

GDPR CCPA 규정 준수 지원

GDPR CCPA 규정 준수 지원

WordPress 사용자를 위한 Ninja GDPR 준수 플러그인이라고도 합니다.

취약점: PHP 개체에 대한 비공식 주입
버전: 2.4에서 해결됨
영향을 받는 총 웹사이트: 1000개 이상

GDPR CCPA 규정 준수 지원 플러그인에는 1000개 이상의 활성 설치가 있습니다. 이 플러그인은 비공식 PHP 개체 삽입에 도달할 수 있는 버전 2.1 이하에 영향을 미치는 안전하지 않은 역직렬화 취약점을 해결했습니다. 2020년 11월 17일. PoC는 사용자에게 모든 정보를 업데이트하는 것으로 표시됩니다.

웰카트 전자상거래

웰카트 전자상거래

웰카트는 무료입니다. 20,000개 이상의 활성 설치가 있으며 영어(미국), 일본어 및 베트남어와 같은 3가지 다른 언어로 제공됩니다. 2020년 10월 9일 이 플러그인에서 취약점이 발견되었습니다.

취약점: PHP 개체에 대한 비공식 주입
버전: 1.9.36에서 해결됨
영향을 받는 총 웹사이트: 20,000개 이상

WordPress 사용자는 Welcart 플러그인을 사용하여 다른 고객 계정 영역으로 쇼핑 웹사이트를 구축할 수 있습니다. WordPress에서 사용하는 것과 동일한 쿠키를 사용하지 않습니다. 자체를 사용합니다.

이것은 사용자 세션을 추적하는 데 도움이 됩니다. 이 플러그인을 사용하면 구독 기반 제품, 디지털 제품 및 실제 제품을 포함한 모든 유형의 제품을 판매할 수 있습니다. 항목 사진, 제품 및 카테고리의 수에는 제한이 없습니다.

AccessPress 소셜 아이콘

AccessPress 소셜 공유 플러그인

다양한 소셜 아이콘을 만들고 웹사이트에서 직접 유효한 소셜 미디어 계정에 대한 링크를 추가할 수 있습니다. 40,000개 이상의 활성 설치가 있으며 WordPress 버전 4.5 이상을 지원합니다.

취약점: 인증된 SQL 주입
버전: 1.8.1에서 해결됨
영향을 받는 총 웹사이트: 40,000개 이상

위젯 속성은 이 플러그인에 의해 치료되지 않았으며, 예를 들어 작성자가 SQL 주입을 실행할 수 있는 사후 권한이 있는 계정을 허용합니다.

기술 전문가가 아닌 사람도 매우 쉽게 웹사이트의 소셜 프로필에 연결할 수 있습니다. 아이콘을 직접 만들고 아름답게 개인화할 수 있습니다. 아이콘을 선택할 수 있는 12가지 다양한 디자인 세트가 제공됩니다.

이 플러그인의 주요 기능은 쉬운 통합, 도구 팁, 더 많은 스타일, 실시간 라이브 미리보기, 반응형, 대화형, 자체 레이아웃 등입니다.

워드프레스

WordPress 버전 5.5.2는 2020년 10월 29일에 릴리스되었습니다. 이 버전은 반영된 XSS 취약점을 포함하여 WordPress 버전 5.5의 영향을 받는 문제를 수정하기 위해 도입되었습니다. 또한 버전 5.5에서 발견된 일부 회귀 문제를 수정했습니다.

취약점: 반사 XSS
버전: 5.5.2에서 해결됨
영향을 받는 총 웹사이트: N/A

모든 WordPress 사용자 계정 및 사용자 웹사이트에서 이 문제는 취약합니다. 공격자는 모르는 사용자가 감염된 링크를 클릭하거나 부비트랩된 웹사이트를 방문하도록 속일 수 있습니다. 이 문제의 피해 수준은 일종의 사회 공학이 필요하기 때문에 중간입니다.

SW Ajax WooCommerce 검색

WooCommerce를 위한 Ajax 검색

SW Ajax WooCommerce Search는 Ajax 검색 기능이 있는 WooCommerce용 WordPress 플러그인입니다.

취약점: 비공식적으로 반영된 XFS 및 XSS
버전: 1.2.8에서 해결됨
영향을 받는 총 웹사이트: N/A

결론:
11월 WordPress 취약점 뉴스 – 수많은 WordPress 웹사이트가 매일 감염되고 해킹당하고 있습니다. 일부 수치에 따르면 매일 30,000개 이상의 웹사이트가 여러 종류의 맬웨어에 영향을 받고 있습니다.

인터넷에 열려 있는 각 웹사이트는 모든 사람이 사용할 수 있는 리소스이며 이것이 대부분의 웹사이트가 대상이 되는 주된 이유입니다.

온라인에서 비즈니스를 시작하자마자 공개적으로 사용할 수 있게 된다는 사실을 아는 것이 중요합니다. 따라서 쉽게 표적이 됩니다.

웹사이트에 취약한 플러그인을 추가하지 않으려면 플러그인과 웹사이트를 최신 상태로 유지하는 것이 중요합니다. 가능한 경우 자동 업데이트를 활성화할 수 있습니다.

위에서 언급한 플러그인을 사용하는 경우 새 버전으로 업데이트해야 합니다. 그렇지 않으면 웹사이트가 심하게 영향을 받게 됩니다.