NextGEN Gallery에서 SQL Injection 취약점 발견

3

워드프레스 갤러리 플러그인

워드프레스용 NextGEN Gallery 플러그인은 사용자들 사이에 호불호가 극명하게 갈리는 갤러리 플러그인으로 1,650만 회 이상 다운로드되었을 정도로 인기있는 무료 갤러리 플러그인입니다.

NextGEN Gallery에서 피해자의 웹사이트 DB에서 데이터(민감한 사용자 정보 포함)를 가로챌 수 있는 심각한 SQL Injection(SQL 삽입, SQL 주입) 취약점이 발견되었다고 하니 최신 버전을 사용하고 있지 않다면 최신 버전으로 업데이트하시기 바랍니다.

다음 두 가지 상황에서 공격자가 이 취약점(Vulnerability)을 악용한다고 합니다.

  1. 사이트에서 NextGEN Basic TagCloud Gallery를 사용하는 경우
  2. 사용자(기여자)가 (검토를 받기 위해) 게시물을 제출하도록 허용하는 경우

이 두 가지 상황 중 하나에 해당된다면 확실히 위험해질 수 있습니다.

이 취약점에 대한 자세한 내용은 Sucuri 글을 참고해보시기 바랍니다.

드물지만 가끔 워드프레스 사이트가 해킹당하거나 멀웨어에 감염되는 경우를 목격하게 됩니다. 가급적 워드프레스와 테마, 그리고 플러그인을 최신 버전으로 유지하시기 바랍니다. 어쩔 수 없이 구 버전을 사용하는 경우 별도의 보안 조치를 취하고, 만약의 사태에 대비하기 위해 정기적으로 백업을 받아놓으시기 바랍니다.

참고:

3 개 댓글

  1. 며칠 전 SSL 설치를 안하고 부터 워드님 메인이 깨어져 보이네요..
    빠른 수정이 필요할 듯 해요..!!

    • 브라우저의 캐시를 삭제해보시겠어요?

      Redirect 때문에 SSL이 설치될 때 이 사이트를 방문한 후에 캐시가 남아 있으면 http://www.thewordcracker.com/ 대신 https://...로 리디렉션될 수 있습니다.

      • 이런 것은 기본적인 것인데 갑자기 워드님 블로그가 깨어져서 나오니..^^
        이제 정상적으로 나옵니다..!!

댓글 남기기

Please enter your comment!
Please enter your name here