워드프레스 Ultimate Member 플러그인 보안 취약점 발견

보안업체인 Sucuri에 의하면 인기 워드프레스 멤버십 플러그인인 Ultimate Member에 몇 가지 취약점이 발견되어 패치되었습니다. 버전 2.0.45 이하 버전에 보안 취약점이 존재하므로 이 플러그인을 사용하는 경우 반드시 최신 버전(2.0.46 이상)으로 업데이트하시기 바랍니다.

Ultimate Member 플러그인

여러 건의 취약점 중 악의적인 사용자가 wp-config.php 파일을 읽고 삭제할 수 있는 취약점이 특히 심각합니다. 이 취약점을 악용하여 웹사이트를 완전히 장악할 수 있습니다.

이번에 다음과 같은 3가지 취약점이 발견되었습니다.

  • 임의 파일 읽기 및 삭제
  • 관리자 대시보드 XSS
  • 사용자 프로파일 XSS

예를 들어, (사용자 프로파일과 같은) 양식 중 하나에 파일 업로드 또는 이미지 업로드 입력 필드를 관리자가 추가한 경우 사용자는 이를 악용하여 서버의 아무 파일이나 다운로드할 수 있습니다.

이러한 입력 필드 유형은 Ultimate Member 플러그인의 Form Builder를 사용하여 관리자가 생성할 수 있습니다.

Ultimate Member 플러그인의 Form Builder 페이지
Form Builder 페이지. 이미지 출처: Sucuri

Ultimate Member는 현재 10만 개 이상의 사이트에 설치되어 활성화되어 있으며 워드프레스에서 회원제 사이트를 만들 수 있는 무료 플러그인입니다.

이 플러그인은 작년에도 보안 취약점이 노출되어 플러그인을 업데이트하지 않았던 많은 사이트가 멀웨어에 감염되기도 했습니다("Ultimate Member 플러그인과 Newspaper 테마의 취약점을 악용한 리다이렉트 멀웨어" 참고).

회원제 사이트를 운영할 필요가 없다면 굳이 이런 플러그인을 사용할 필요가 없습니다. 멤버십 사이트를 운영해야 하는 경우, 워드프레스 코어와 테마, 플러그인을 모두 최신 버전으로 유지하고 오랫동안 업데이트가 안 되는 방치된 플러그인은 사용하지 않는 것이 안전합니다.

항상 강조하는 내용이지만, 1) 사이트를 최신 버전으로 업데이트하여 유지하고, 2) 정기적으로 백업하고, 3) 가능한 경우 보안 플러그인을 설치하면 사이트를 안전하게 운영할 수 있습니다. 이외에도 강력한 비밀번호를 사용하는 등 일반적인 보안 관행도 준수해야 합니다.

참고:

일부 글에 제휴 링크가 포함될 수 있으며 파트너스 활동으로 일정액의 수수료를 받을 수 있습니다.

댓글 남기기

* 이메일 주소는 공개되지 않습니다.