워드프레스 5.4.2 업데이트

2020년 6월 10일 (한국 시각으로 6월 11일 오전)에 워드프레스 5.4.2 업데이트가 릴리즈되었습니다. 이번 업데이트에서는 몇 가지 보안 문제가 해결되었고 23가지 버그가 수정되었습니다.

워드프레스 5.4.2 업데이트 - 몇 가지 보안 문제와 버그 수정

워드프레스 버전 5.4와 이전 버전에 영향을 미치는 5가지 보안 문제와 22가지 버그가 이번 버전에서 수정되었습니다. 구체적으로 다음과 같은 보안 문제가 처리되었습니다.

1. 낮은 권한을 가진 인증된 사용자가 블록 에디터에서 포스트에 JavaScript를 추가할 수 있는 XSS 문제
2. 업로드 권한을 가진 인증된 사용자가 미디어 파일에 자바스크립트를 추가할 수 있는 XSS 문제
3. 워드프레스 보안 팀(WordPress Security Team)의 Ben Bidner가 wp_validate_redirect()에서 오픈 리다이렉트(open redirect) 문제를 발견했습니다.
4. 테마 업로드를 통한 Authenticated XSS 문제
5. 화면 설정 옵션 (set-screen-option)이 플러그인에 의해 악용되어 권한 상승을 야기할 수 있는 문제
6. 특정 조건하에서 비밀번호로 보호되는 포스트와 페이지의 댓글이 표시될 수 있는 문제

자세한 사항은 워드프레스 문서 WordPress 5.4.2를 참고해보세요.

최근 보안 업데이트가 이루어진 테마와 플러그인

항상 강조하지만 가급적 워드프레스, 테마, 플러그인을 최신 버전으로 업데이트하고 오랫동안 업데이트가 안 되고 방치되는 플러그인이나 테마는 사용하지 않는 것이 바람직합니다.

최근 몇 가지 인기 테마와 플러그인에서 보안 취약점이 발견되어 업데이트되었으므로 아래의 테마나 플러그인을 사용하는 경우 반드시 최신 버전으로 업데이트해주세요.

• 아바다 테마 6.2.3 미만 버전 - 퍼미션 체크 누락으로 임의 포스트 생성, 편집, 삭제 및 Stored XSS로 이어질 수 있는 문제가 수정되었습니다.
• 뉴스페이퍼 테마 10.3.4 미만 버전 - Authenticated Reflected Cross-Site Scripting 문제 수정
• Careerfy 테마 3.9.0 미만 버전 - Unauthenticated Reflected Cross-Site Scripting (XSS) 문제 해결. 자세한 PoC는 6월 17일 공개 예정.
• 엘리멘터 페이지 빌더 - Authenticated Stored XSS 문제 해결
• Brizy 페이지 빌더 - Ajax 호출에서 부적절한 액세스 제어 문제 수정
• bbPress 2.6.5 미만 버전 - 새 사용자 회원가입 활성화 시 인증되지 않은 권한 상승 문제
• Image Photo Gallery Final Tiles Grid 3.4.19 미만 버전 - Authenticated Stored Cross-Site Scripting (XSS) 문제 수정

그리고 정기적으로 백업을 하여 보관해 놓으면 만약의 사태가 발생할 경우 쉽게 복구가 가능합니다.

참고

• 워드프레스 베스트 보안 플러그인 4선