Ultimate Form Builder Lite에서 제로데이 취약점 발견

Ultimate Form Builder Lite에서 제로데이 취약점 발견 2

Ultimate Form Builder Lite에서 제로데이 취약점이 발견되어 수정되었습니다.

지난 달에 보안업체인 Wordfence에 의해 Appointments, Flickr Gallery 등 3개 워드프레스 플러그인에 Object Injection 취약점이 있음이 발견되었습니다.

최근 유사한 취약점을 해커들이 적극적으로 악용하는 것이 Contact Form for WordPress – Ultimate Form Builder Lite라는 워드프레스 폼빌더 플러그인에서 발견되었습니다.

자세한 내용은 다음 Wordfence 글을 참고해보세요.

Ultimate Form Builder Lite는 드래그 & 드롭 방식의 폼빌더로 다양한 컨택트 폼을 만들 수 있는 무료 워드프레스 플러그인으로 50,000개 이상의 사이트에서 설치되어 활성화되어 있습니다.

10월 23일 플러그인 개발자가 취약점을 수정한 업데이트(버전 1.3.7)를 내놓았습니다. 이 플러그인을 사용하는 경우 즉시 최신 버전으로 업데이트하시기 바랍니다.

문의 양식을 만드는 플러그인으로는 Contact Form 7이 많이 사용됩니다. 하지만 Contact Form 7은 기본적인 기능만 제공하기 때문에 기능을 확장하려면 추가 플러그인("애드온 플러그인")을 설치해야 하는 번거로움이 있습니다.

깔끔한 유료 컨택트 폼 플러그인을 원하는 경우 Quform 같은 플러그인을 고려해볼 수 있습니다. 꾸준한 인기를 얻고 있는 Quform은 최근 버전 2.0으로 업그레이드되면서 인터페이스가 개선되고 단계별 양식 지원 등 여러 가지 기능이 추가되었습니다.

* 참고로 Wordfence는 프리미엄 버전을 구입하는 고객들에게는 특정 취약점이 발견되면 즉시 알려주고, 해당 취약점이 해결되거나 혹은 취약점을 수정하지 않아서 플러그인이나 테마가 워드프레스 저장소에서 삭제되는 경우에 그 사실을 공개하고 있는 것 같습니다. 일반 사용자는 문제가 되는 플러그인이 있어도 알 수가 없고, 심지어 플러그인이 보안 문제로 인해 워드프레스 플러그인 저장소에서 삭제되어도 (누가 알려주지 않으면) 제대로 인지하기 쉽지 않습니다.


댓글 남기기

* 이메일 주소는 공개되지 않습니다.