YITH WooCommerce Wishlist 플러그인은 현재 50만 개 이상의 워드프레스 사이트에 설치되어 사용되고 있으며 우커머스 쇼핑몰에서 고객들이 상품의 위시리스트("찜" 목록)를 만들 수 있는 인기 플러그인 중 하나입니다("워드프레스용 YITH 우커머스 위시리스트 플러그인" 참고).
보안업체인 Sucuri에서 YITH WooCommerce Wishlist에 영향을 미치는 SQL 주입 취약점(SQL Injection vulnerability)을 발견했습니다.
2.2.0 이전 버전에서는 이 취약점 때문에 민감한 데이터가 유출될 수 있고 특정 구성에서는 전체 워드프레스 사이트의 보안을 저하시킬 수 있습니다.
특히 MySQL 5.7 이전 버전을 사용하는 서버에서 이 취약점이 쉽게 악용된다고 하네요.
Sucuri에서 이 보안 권고를 발표한 이유는 사용자들이 위시리스트(찜 목록)을 저장하여 나중에 이용할 수 있도록 이 플러그인을 사용하는 사이트에서 무료 "사용자 회원 가입"이 보통 활성화되어 있기 때문이라고 합니다.
이전 버전을 사용하고 있다면 이 플러그인을 가능한 한 빨리 2.2.0 이상으로 업데이트하시기 바랍니다(현재 버전 2.2.0).
만약 업데이트를 할 수 없는 상황인 경우에는 Sucuri Firewall이나 비슷한 기술을 이용하는 것이 좋다고 하네요.
댓글 남기기