워드프레스 4.8.2 보안 및 유지보수 릴리스 공개

우리나라 시각으로 9월 20일(수요일) 이른 아침에 워드프레스가 4.8.2로 업데이트되었습니다.

이번 업데이트에는 9가지 보안 문제가 해결되었고 몇 가지 버그가 수정되었다고 합니다. 아마 대부분의 사이트에서 자동으로 새로운 버전으로 업데이트되었을 것입니다. 자동으로 업데이트가 안 된 경우에는 보안을 위해 가급적 최신 버전으로 업데이트하시기 바랍니다.

4.8.2에서 해결된 보안 문제는 다음과 같습니다.

  1. $wpdb->prepare()가 잠재적인 SQL 삽입(SQLi)을 야기할 수 있는 예상치 못한 위험한 쿼리를 생성할 수 있습니다. 워드프레스 코어는 이 문제에 직접적으로 취약하지 않지만 플러그인과 테마가 실수로 취약점에 노출되지 않도록 강화했습니다.
  2. XSS(Cross-site scripting: 교차 사이트 스크립팅) 취약점이 oEmbed discovery에서 발견되었습니다.
  3. XSS 취약점이 비주얼 편집기에서 발견되었습니다.
  4. Path traversal vulnerability(경로 통과 취약점?)이 파일 unzipping 코드에서 발견되었습니다.
  5. XSS 취약점이 플러그인 편집기에서 발견되었습니다.
  6. 오픈 리디렉트(open redirect)가 사용자 및 용어 편집 화면에서 발견되었습니다.
  7. Path traversal vulnerability가 사용자 정의하기(Customizer)에서 발견되었습니다.
  8. XSS 취약점이 템플릿 이름에서 발견되었습니다.
  9. XSS 취약점이 링크 모달에서 발견되었습니다.

자세한 내용은 WordPress Codex 문서에서 확인할 수 있습니다.

워드프레스는 보안 취약점이 발견되면 수시로 업데이트를 통해 해결하기 때문에 워드프레스 자체는 보안에 강하지만 업데이트를 소홀히 하거나 잘못된 플러그인이나 테마를 사용할 경우 보안에 취약해질 수 있습니다.

최근에 인기 워드프레스 플러그인 중 하나인 Display Widgets에 악성코드가 포함되어 플로그인 목록에서 제거되었습니다. Display Widgets을 사용 중이라면 삭제하시고 다른 대체 플러그인을 사용하시기 바랍니다(참고).

참고:


댓글 남기기

* 이메일 주소는 공개되지 않습니다.