인기 팝업 플러그인 Convert Plus에서 치명적인 취약점 패치됨

0

지난 5월 말에 보안업체인 Wordfence에서 유료 워드프레스 플러그인인 Convert Plus에 취약점을 발견했습니다. Convert Plus의 3.4.2 이하의 버전에서 이러한 보안 결함에 대한 공격에 취약합니다. 이 플러그인을 사용하는 모든 사용자는 즉시 3.4.3 이상으로 업데이트해야 합니다.

Convert Plus는 10만 개 이상의 사이트에서 설치되어 사용되고 있는 것으로 추정되는 인기 프리미엄 팝업 플러그인입니다. 이 플러그인을 사용하여 모달 팝업, info bar 등을 사이트 방문자에게 표시하여 이메일 구독, 쿠폰 코드 등의 다양한 CTA(Call-To-Action)를 적용할 수 있습니다.

새로운 구독자를 처리하는 양식(form)을 설정할 때, 관리자는 제공되는 이메일에 연결되는 워드프레스 사용자 역할(Role)을 정의할 수 있습니다. 기본적으로 이 값은 "None"이며 사용자가 생성되지 않지만, 사이트 소유자는 이러한 양식(Form)으로 새로운 구독자 게정이나 다른 계정을 생성할 수 있습니다. 관리자 역할은 예외입니다. 플러그인은 드롭다운 메뉴를 생성할 때 사용 가능한 역할 목록에서 관리자를 제거합니다.

하지만 취약점이 존재하는 이 플러그인의 버전에서는 제출 시 의도한 사용자 역할이 DB에서 Fetch되지 않았습니다. 대신, 이 설정은 cp_set_user라는 숨겨진 필드에 반영되었습니다. 이 값은 구독의 나머지 항목과 동일한 HTTP 요청에 의해 제공되므로 사용자의 의해 변경될 수 있습니다.

악의적인 사용자가 구독 양식을 제출하고 cp_set_user를 "administrator"로 변경하면 플러그인에서 해당 이메일 주소와 연결된 관리자 계정을 생성하게 됩니다. 새로운 계정의 비밀번호는 랜덤하게 지정되지만 공격자는 일반적인 비밀번호 재설정 과정을 통해 악의적으로 생성한 관리자 계정에 접근할 수 있게 됩니다.

Convert Plus 플러그인의 취약점을 악용하여 관리자 계정을 생성하는 과정을 아래의 데모 동영상에서 확인할 수 있습니다.

Convert Plus 플러그인은 The7 등과 같은 프리미엄 테마에 번들로도 제공됩니다. 이 플러그인을 사용하는 경우 버전을 체크하여 반드시 3.4.3 이상 버전으로 업데이트하시기 바랍니다. 유료 테마에 포함된 플러그인인 경우 테마 판매자에게 연락하여 최신 버전을 받아야 할 수 있습니다.

누차 강조하는 내용이지만, 안전하게 워드프레스 사이트를 운영하기 위해 1) 항상 최신 버전으로 워드프레스, 테마, 플러그인을 업데이트하고, 2) 정기적으로 백업하시기 바랍니다. 그리고 iThemes Security나 Wordfence Security 같은 보안 플러그인을 설치하면 도움이 됩니다.

이 플러그인의 취약점에 대한 자세한 기술적인 내용은 Wordfence 블로그 글을 참고하세요.

참고:

댓글 남기기

Please enter your comment!
Please enter your name here