[워드프레스] All in One SEO Pack에서 심각한 보안 취약점 발견

All-in-One-SEO-Pack

All in One SEO Pack 플러그인 버전 2.3.6.1 이전에서 심각한 저장된 크로스 사이트 스크립팅(XSS) 취약점이 발견되었고, 이 플러그인의 2.3.7 이전 버전에서도 새로운 취약점이 추가로 발견되었다고 합니다.

All in One SEO Pack은 100만 개 이상 사이트에 설치되어 활성화된 매우 인기 있는 플러그인 중 하나입니다.

XSS 취약점을 이용하여 공격자는 악성 HTTP 사용자 에이전트 또는 Referrer 헤더를 XSS 페이로드가 포함된 사이트로 전송할 수 있습니다. 그러면 관리자가 관리자 패널에 접속하면 이 플러그인에 "Bad Bot Blocker" 설정 페이지가 표시되고 공격자가 사이트의 통제권을 완전 장악하게 됩니다.

이 취약점은 "Track Blocked Bots" 설정이 활성화된 사이트에서만 악용될 수 있습니다. 이 설정은 기본적으로는 활성화되지 않습니다.

자세한 내용은 다음 두 사이트를 참고해보시기 바랍니다.

All in One SEO Pack은 이전에도 보안 취약점이 발견된 적도 있기 때문에 이 플러그인은 항상 최신 버전으로 유지하는 것이 좋을 것 같습니다. 2016년 7월 21일 현재 이 플러그인의 최신 버전은 2.3.8입니다. 반드시 최신 버전으로 업데이트하시기 바랍니다.


댓글 남기기

* 이메일 주소는 공개되지 않습니다.