[워드프페스] Ninja Forms 플러그인에서 SQL 주입 취약점 발견

참고: 인기 테마인 BE 테마(33%)The 7(35%) 할인 행사를 진행하고 있습니다.
참고

Ninja-Forms

Ninja Forms 플러그인에서 SQL 주입 취약점(SQL Injection Vulnerability) 발견

현재 60만 개 이상의 웹사이트에 설치된 워드프레스용 Ninja Forms 플러그인에 영향을 미치는 SQL 주입 취약점(SQL Injection Vulnerability)이 발견되었다고 합니다.

공격자가 피해 사이트에서 계정을 가질 경우에 이 취약점을 이용할 수 있으며 구독자(subscriber) 계정을 가져도 공격이 가능하다고 합니다. 이 문제는 숏코드에서 제공하는 파라미터를 SQL 쿼리에 연결하기 전에 이스케이프하지 않기 때문에 발생합니다.

악의적인 공격자는 이 버그를 이용하여 사이트의 사용자 이름 및 해시된 비밀번호를 유출할 수 있습니다. 일부 구성에서는 워드프레스 비밀 키(secret key)도 유출될 수 있습니다.

현재 Ninja Forms가 2.9.55.2로 긴급 업데이트되었습니다. 2.9.55.2 이상 버전에서는 이 문제가 발생하지 않으므로 플러그인을 최신 버전으로 업데이트하시기 바랍니다.



기부를 통해 이 블로그를 후원하실 수 있습니다.
워드프레스 설치/제작/문제해결이 필요한 경우 서비스(유료)를 요청해주세요.