인기 워드프레스 테마 중 하나인 뉴스페이퍼 테마에서 XSS 보안 문제가 발견되어 최신 버전에서 수정되었습니다. 그리고 취업 포털 테마인 Careerfy에서도 최신 버전에서 보안 문제가 수정되었습니다. Newspaper나 Careerfy를 사용 중인 경우 최신 버전으로 업데이트하시기 바랍니다.
워드프레스 자체는 보안에 강하지만 워드프레스, 테마, 플러그인의 업데이트를 소홀히 하면 보안 문제가 발생할 수 있으므로, 가급적 최신 버전으로 업데이트할 것을 권장합니다. 실제로 업데이트를 제때 하지 않았다가 악성코드에 감염되거나 해킹을 당하는 사례를 간혹 목격합니다. 번거롭더라도 최신 버전으로 사이트를 유지하고 정기적으로 워드프레스 사이트를 백업하면 안전하게 사이트를 운영할 수 있습니다.
뉴스페이퍼 테마 보안 취약점 패치
뉴스페이퍼는 TagDiv가 만든 인기 매거진/뉴스 테마로 96,000개 이상 판매를 기록하고 있습니다. 뉴스 사이트나 콘텐츠가 많은 블로그 사이트에 적합합니다.
뉴스페이퍼 10.3.4 미만 버전에서 공격자가 관리자 알림판에 JavaScript 코드를 주입할 수 있는 XSS 취약점이 functions.php 파일에서 발견되었습니다.
add_action( 'current_screen', function() {
$current_screen = get_current_screen();
if ( 'update-core' === $current_screen->id && isset( $_REQUEST['update_theme'] )) {
add_action('admin_head', function() {
$theme_name = $_REQUEST['update_theme'];
ob_start();
?>
<script>
jQuery(window).ready(function() {
'use strict';
var $formUpgradeThemes = jQuery('form[name="upgrade-themes"]');
if ( $formUpgradeThemes.length ) {
var $input = $formUpgradeThemes.find('input[type="checkbox"][value="<?php echo $theme_name ?>"]');
if ($input.length) {
$input.attr( 'checked', true );
$formUpgradeThemes.submit();
}
}
});
</script>
<?php
echo ob_get_clean();
});
}
});라인 8 (functions.php의 라인 383)에서는 브라우저의 URL에서 update_theme 변수를 읽은 다음 라인 21 (functions.php의 라인 395)에서 이스케이프(Escape)나 Sanitization 없이 그대로 프린트할 수 있습니다.
뉴스페이퍼 테마를 사용하는 경우 최신 버전(현재 10.3.4)으로 업데이트하여 안전하게 워드프레스 사이트를 운영하시기 바랍니다.
Careerfy 테마에서 Unauthenticated Reflected Cross-Site Scripting (XSS) 보안 문제 수정
워드프레스 구인/구직 포털 테마인 Careerfy에서 XSS 취약점이 발견되어 3.9.0 버전에서 수정되었습니다.
사용자들이 업데이트할 수 있는 시간을 주기 위해 PoC는 6월 17일 공개된다고 합니다. 이 테마를 사용하는 경우 가급적 빨리 최신 버전으로 업데이트하시기 바랍니다.
마치며
인기 워드프레스 테마 또는 인기 워드프레스 플러그인에 보안 취약점이 발견되어 수정될 경우, 악의적인 공격자들이 업데이트를 하지 않은 사이트를 노린 악성 코드를 만들어 배포할 수 있습니다.
실제로 이런 사례가 있으므로 주의가 필요합니다. 예를 들어, 인기 페이지 빌더인 Elementor가 5월 초에 SVG Sanitizer Bypass & Authenticated Stored XSS 취약점이 수정된 업데이트 버전을 릴리즈했습니다. 엘리멘터 페이지 빌더를 업데이트하지 않은 사이트를 대상으로 한 해킹 시도가 발견되고 있습니다. 엘리멘터 페이지 빌더를 사용하는 경우에도 최신 버전으로 업데이트해주세요.
전 이미 한 업데이트 였군요. 한지 얼마 안됐는데 또 나왔나 해서 살펴 봤습니다. 매번 수고가 많으십니다. ^^
워드프레스 코어, 테마, 플러그인에 보안 결함을 발견할 경우 정해진 절차에 따라 처리됩니다.
보통 문제를 테마나 플러그인 개발자에게 비공개로 접촉하여 문제를 알리게 됩니다.
그러면 개발자가 문제를 시정한 업데이트를 릴리즈하게 되고, 사용자들이 업데이트할 수 있는 시간을 준 이후에 상세한 사항을 공개합니다.
이런 절차를 무시하고 발견한 보안 문제를 블로그 등에 올려버리면 문제가 됩니다.
악의적인 해커들이 해당 취약점을 악용한 멀웨어를 만드어 배포할 수 있기 때문이죠.
실제로 이런 절차를 무시하고 발견한 보안 문제를 공개하다가 퇴출(?)당한 업체가 있었습니다.
https://www.thewordcracker.com/basic/%ED%8E%98%EC%9D%B4%EC%8A%A4%EB%B6%81-%EC%9B%8C%EB%93%9C%ED%94%84%EB%A0%88%EC%8A%A4-%ED%94%8C%EB%9F%AC%EA%B7%B8%EC%9D%B8%EC%9D%98-%EB%B3%B4%EC%95%88-%EA%B2%B0%ED%95%A8-%EC%88%98%EC%A0%95/