Contact Form 7, 보안 취약점을 수정한 업데이트 릴리스
Contact Form 7 5.0.4이 어제 공개되었습니다. 이 버전은 보안 및 유지보수 릴리스로서 가능한 한 즉시 새 버전으로 업데이트하시기 바랍니다.
권한 상승 취약점(Privilege escalation vulnerability)가 Contact Form 7 5.0.3 이하 버전에서 발견되었습니다. 이 취약점을 이용하여 기여자(Contributor) 회원 등급으로 로그인한 사용자가 관리자(Administrator)와 편집자(Editor)만 접근할 수 있는 컨택트 폼을 편집하는 것이 가능해집니다.
이러한 취약점을 악용하는 잠재적인 공격으로부터 피해를 최소화하기 위해 Contact Form 7 5.0.4 이상 버전에서는 로컬 파일 첨부 기능을 제한하게 됩니다. 보다 구체적으로 설명하면, 사용자는 더 이상 wp-content 디렉터리 외부에 위치하는 파일을 가리키도록 절대 파일 경로를 지정할 수 없게 됩니다. 하지만 계속하여 상대 또는 절대 파일 경로의 wp-content 디렉터리 내부 디렉터리를 지정할 수는 있습니다. 그러므로 첨부 파일의 위치만 변경하면 됩니다.
워드프레스 사이트를 안전하게 운영하기 위해서는 워드프레스 코어 파일, 테마 및 플러그인을 모두 최신 버전으로 업데이트하는 것이 중요합니다.
최근 Ultimate Member를 악용한 리디렉션 멀웨어가 기성을 부리고 있습니다. Ultimate Member 플러그인을 제때 업데이트하지 않은 일부 사이트가 멀웨어에 감염되었고, 감염된 사이트가 계속 늘어나고 있어 주의가 요구됩니다.
그리고 Duplicator 플러그인에도 심각한 원격 코드 실행(RCE: remote code execution) 취약점이 발견되어 패치 버전이 나왔습니다. Duplicator 플러그인을 사용하는 경우 즉시 새로운 버전으로 업데이트하거나 삭제하시기 바랍니다.
Contact Form 7을 최신 버전으로 즉시 업데이트하도록 플러그인 개발자가 강력히 권고하고 있으므로 가급적 빨리 최신 버전으로 업데이트하는 것이 좋습니다.
어제부터 플러그인이 몇개나 업데이가 뜨더라구요..
Contact Form 7 은 보안 취약에 관한 것이군요..^^ 항상 감사합니다..!!
최근에 Yoast SEO가 크게 업데이트되면서 문제가 발생하여 업데이트를 자주 하더군요. Yoast SEO를 사용하고 있다면 업데이트가 자주 이루어진다는 느낌을 받을 수 있을 것 같습니다.
Contact Form 7을 비롯하여 플러그인은 항상 최신 버전으로 업데이트하는 것이 안전할 것입니다.