워드프레스 인기 플러그인 중 하나인 WooCommerce Checkout Manager 플러그인이 보안 취약점으로 인해 워드프레스 플러그인 저장소에서 제거되었습니다.
이번 주 초에 우커머스의 기능을 확장하는 WooCommerce Checkout Manager(우커머스 체크아웃 관리자)에서 임의 파일 업로드 취약점(arbitrary file upload vulnerability)이 발견되었습니다. 하지만 취약점이 패치되지 않아서 현재 이 플러그인은 플러그인 저장소에서 제거되었고 더 이상 다운로드할 수 없습니다.
이 플러그인 페이지를 방문하면 현재 "This plugin was closed on April 26, 2019 and is no longer available for download."가 표시됩니다.
화요일에 Plugin Vulnerabilities는 WooCommerce Checkout Manager에서 임의 파일 업로드에 대한 공격을 설명하는 PoC(Proof of Concept; 개념증명)를 공개했습니다. 이 플러그인의 "Categorize Uploaded Files" 옵션에서 파일이 업로드되기 전에 권한을 체크하지 않기 때문에 이 취약점이 존재합니다. 따라서 악의적인 해커가 악의적인 파일을 업로드하여 실행할 수 있습니다.
이 플러그인을 사용하는 경우 즉시 비활성화하거나 제거하시기 바랍니다. 현재 6만 개 이상의 워드프레스 사이트에서 이 플러그인이 사용되고 있다고 합니다.
비슷한 이름의 플러그인으로 YITH WooCommerce Checkout Manager가 있습니다. YITH WooCommerce Checkout Manager 플러그인이 문제가 된 Visser Labs의 WooCommerce Checkout Manager와 비슷한 기능을 하는지는 모르겠습니다. (이 플러그인은 현재 워드프레스 플러그인 저장소에서 제거되어 이 플러그인의 자세한 내용을 확인할 수가 없습니다.)
워드프레스와 플러그인, 그리고 테마를 항상 최신 버전으로 유지하는 것이 중요합니다. 보안 문제로 인해 워드프레스 플러그인 저장소에서 제거된 플러그인을 사용하지 마시기 바랍니다.
최근에 Yellow Pencil Visual Theme Customizer 플러그인이 제로데이 취약점이 발견되어 워드프레스 플러그인 저장소에서 제거되었다가 취약점이 패치되어 현재 다운로드가 가능합니다. 이 플러그인에 취약점이 발견되고 취약점이 패치되지 않으면서 이 플러그인을 사용하는 사이트에 대한 공격이 증가했습니다.
댓글 남기기