All in One SEO Pack 플러그인 버전 2.3.6.1 이전에서 심각한 저장된 크로스 사이트 스크립팅(XSS) 취약점이 발견되었고, 이 플러그인의 2.3.7 이전 버전에서도 새로운 취약점이 추가로 발견되었다고 합니다.
All in One SEO Pack은 100만 개 이상 사이트에 설치되어 활성화된 매우 인기 있는 플러그인 중 하나입니다.
XSS 취약점을 이용하여 공격자는 악성 HTTP 사용자 에이전트 또는 Referrer 헤더를 XSS 페이로드가 포함된 사이트로 전송할 수 있습니다. 그러면 관리자가 관리자 패널에 접속하면 이 플러그인에 "Bad Bot Blocker" 설정 페이지가 표시되고 공격자가 사이트의 통제권을 완전 장악하게 됩니다.
이 취약점은 "Track Blocked Bots" 설정이 활성화된 사이트에서만 악용될 수 있습니다. 이 설정은 기본적으로는 활성화되지 않습니다.
자세한 내용은 다음 두 사이트를 참고해보시기 바랍니다.
- Serious Vulnerability in All in One SEO Pack Plugin 2.3.6.1 and earlier(All in One SEO Pack Plugin 2.3.6.1 이전에서 심각한 취약점 발견)
- New Vulnerability in All in One SEO Pack Plugin 2.3.7 and earlier(All in One SEO Pack Plugin 2.3.7 이전에서 새로운 취약점)
All in One SEO Pack은 이전에도 보안 취약점이 발견된 적도 있기 때문에 이 플러그인은 항상 최신 버전으로 유지하는 것이 좋을 것 같습니다. 2016년 7월 21일 현재 이 플러그인의 최신 버전은 2.3.8입니다. 반드시 최신 버전으로 업데이트하시기 바랍니다.
댓글 남기기