LatePoint 플러그인의 두 가지 심각한 취약점으로 인해 수천 개의 WordPress 웹사이트가 위험에 빠졌습니다. 7000개가 넘는 WordPress 사이트에서 서비스 및 주문 관리를 위해 플러그인을 적극적으로 사용하고 있습니다.
Wordfence Threat Intelligence 팀은 플러그인에서 인증되지 않은 임의 사용자 비밀번호 변경 취약점을 식별했습니다. 공격자는 이 취약점을 악용하여 비밀번호나 관리자를 포함한 모든 사용자를 변경할 수 있습니다. 인증 우회 취약점으로 인해 공격자는 관리자를 포함한 모든 계정에 액세스할 수 있습니다.
임의의 사용자 비밀번호 변경은 사용자 제공 매개변수의 이스케이프가 충분하지 않기 때문에 발생했습니다. 이로 인해 SQL 주입 공격이 발생했습니다. 예약 고객 단계에서 사용자 확인이 미흡하여 해당 플러그인이 인증 우회에 취약한 문제점이 있었습니다.
Wordfence 팀은 기술적 세부 사항을 학습하는 데 관심이 있는 모든 사람을 위해 이러한 취약점에 대한 자세한 분석을 게시했습니다.
공격자는 이러한 취약점을 탐색하여 웹사이트를 제어하고 비밀번호를 변경하여 원래 관리자가 웹사이트에 액세스하지 못하도록 할 수 있습니다.
Wordfence Threat Intelligence 팀은 2024년 9월 17일 LatePoint 팀에 연락했고, 당일 답변을 받았습니다. LatePoint는 이러한 취약점을 해결하기 위해 2024년 9월 20일과 2024년 9월 24일에 두 개의 패치를 출시했습니다.
LatePoint 플러그인을 사용하는 사용자는 가능한 한 빨리 플러그인을 업데이트해야 합니다. Wordfence Premium, Wordfence Care 및 Wordfence Response를 사용하는 웹 사이트는 이미 이러한 취약점으로부터 보호하기 위한 방화벽 규칙을 받았습니다. Wordfence 무료 사용자는 2024년 10월 17일에 이 업데이트를 받게 됩니다.
WordPress를 사용하는 경우 자세한 WordPress 보안 가이드를 읽고 웹사이트를 보호하는 방법을 알아볼 수 있습니다. 추가적인 보안과 마음의 평화를 위해 당사를 고용하실 수 있습니다. 합리적인 비용으로 WordPress 개발 및 보안 서비스를 제공합니다.