펜카 흐리스토프스카
에 게시 : 2024 년 1 월 17 일
보안 연구원들이 인기 있는 WordPress 플러그인에서 해커가 영향을 받는 웹사이트를 완전히 제어할 수 있는 심각한 취약점 한 쌍을 발견했습니다. 취약점은 300,000개가 넘는 웹사이트에 설치된 이메일 전달 도구인 POST SMTP Mailer WordPress 플러그인에서 발견되었습니다.
이 취약점은 Sean Murphy와 Ulysses Saicha의 연구원에 의해 발견되었습니다. Wordfence, 선도적인 사이버 보안 회사입니다. 그들은 이 취약점으로 인해 악의적인 행위자가 메일러의 인증 API 키와 액세스 로그(비밀번호 재설정 이메일이 포함될 수 있음)를 재설정할 수 있다고 설명했습니다.
플러그인에서 확인된 두 가지 취약점 중 가장 심각한 것은 CVE-2023-6875로, CVSS 등급이 9.8이고 플러그인의 모든 버전(최대 2.8.7)에 영향을 미칩니다.
더 구체적으로 말하자면, 플러그인의 연결 앱 REST 엔드포인트의 "타입 저글링"으로 인해 발생하는 인증 우회 결함입니다. 이 취약점으로 인해 인증을 위한 API 키를 재설정할 수 있으며, 이로 인해 비밀번호 재설정 이메일을 포함한 민감한 로그 데이터에 액세스할 수 있습니다. 이는 본질적으로 해커가 관리자의 비밀번호 재설정을 시작하여 해당 관리자를 웹 사이트에서 잠글 수 있음을 의미합니다.
CVE-2023-7027로 식별된 다른 취약점은 XSS(Store Cross-Site Scripting) 문제입니다. CVSS 점수에서는 7.2로 순위가 낮지만 여전히 심각도가 높은 문제로 간주됩니다. 연구원들은 이 문제가 버전 2.8.7 및 이전 버전의 "불충분한 입력 삭제 및 출력 이스케이프"로 인해 발생하며 잠재적인 공격자가 웹 페이지에 유해한 스크립트를 삽입할 수 있게 하고 사용자가 손상된 페이지를 방문할 때 실행될 수 있다고 설명했습니다.
전체 관리자 권한을 통해 해커는 WordPress 사이트를 완전히 제어하고 플러그인과 테마를 수정하고, 콘텐츠를 편집, 게시 및 게시 취소하고, 백도어를 설치하고, 사용자를 안전하지 않은 대상으로 안내할 수 있습니다.
올해 2.8.8월 1일에 출시된 POST SMTP 플러그인 버전 50의 플러그인 공급업체에서 발행한 보안 수정 사항입니다. 불행하게도 플러그인을 사용하는 웹사이트 중 거의 XNUMX%가 취약한 버전을 사용하고 있다고 합니다. 보고서. 플러그인 사용자는 잠재적인 공격으로부터 웹사이트를 보호하기 위해 최신 버전으로 업그레이드하는 것이 좋습니다.
- SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
- PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
- PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
- 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
- PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
- 출처: https://www.safetydetectives.com/news/150000-wordpress-sites-at-risk-due-to-vulnerable-plugin/
- :있다
- :이다
- $UP
- 000
- 1
- 150
- 17
- 300
- 40
- 7
- 8
- 9
- a
- ACCESS
- 에 따르면
- 배우
- 영향을받은
- 제휴
- 반대
- All
- 수
- 수
- 거의
- an
- 및
- API를
- 있군요
- AS
- At
- 공격
- 인증
- 권한 부여
- 화신
- 백도어
- 된
- 비자 면제 프로그램에 해당하는 국가의 시민권을 가지고 있지만
- by
- 우회로
- CAN
- 발생
- 완전한
- 손상된
- 고려
- 함유량
- 제어
- 수
- 임계
- 사이버 보안
- 데이터
- 배달
- 목적지
- 탐지 된
- 곧장
- 두
- 이전
- 이메일
- 이메일
- 포함
- 가능
- 격려
- 종점
- 본질적으로
- 처형 된
- 설명
- 굳은
- 고정 된
- 결점
- 럭셔리
- 발견
- 에
- 가득 찬
- 이득
- 해커
- 해커
- 해로운
- 있다
- HTTPS
- 확인
- 영향
- in
- 포함
- 포함
- 시작
- 입력
- 설치
- 으로
- 발행물
- IT
- 월
- 키
- 리드
- 지도
- LINK
- 기록
- 절감
- 악의있는
- 방법
- 수도
- 수정
- 가장
- of
- on
- 기타
- 아웃
- 출력
- 위에
- 페이지
- 페이지
- 쌍
- 비밀번호
- 비밀번호 초기화
- 플라톤
- 플라톤 데이터 인텔리전스
- 플라토데이터
- 플러그인
- 플러그인
- 인기 문서
- 게시하다
- 가능성
- 잠재적으로
- 권한
- 보호
- 게시
- 순위
- 정격
- 최근
- 출시
- 연구원
- REST
- 위험
- 규모
- 점수
- 스크립트
- 션
- 보안
- 민감한
- 대지
- 사이트
- 구체적으로
- 아직도
- 저장
- 강하게
- 그
- XNUMXD덴탈의
- 그들의
- 그들
- 테마
- 그때
- 그들
- 이
- 올해
- 에
- 수단
- 두
- 발견
- 운수 나쁘게
- 업그레이드
- 사용자
- 사용자
- 사용
- 버전
- 버전
- 방문
- 취약점
- 취약점
- 취약
- 였다
- 웹
- 웹
- 웹 사이트
- 웹 사이트
- 했다
- 언제
- 어느
- 워드프레스(WordPress)
- 워드 프레스 플러그인
- XSS
- year
- 제퍼 넷