워드프레스의 프리미엄 테마인 '모터스'에서 중요한 권한 상승 취약점이 발견되었습니다. 이 취약점은 인증되지 않은 공격자가 관리자 계정을 탈취하고 웹사이트를 완전히 통제할 수 있게 합니다. '모터스'는 StylemixThemes에 의해 개발되었으며, 워드프레스 플랫폼의 최고 판매 자동차 테마 중 하나입니다. 이 테마는 자동차 딜러십, 렌탈 서비스, 중고차 리스트 플랫폼 등 자동차 비즈니스에서 매우 인기가 있습니다. Envato 시장에서 22,300회 이상 판매되었으며, 수백 개의 사용자 리뷰와 수천 개의 댓글이 있어, 이 주변에 매우 활발한 커뮤니티가 형성되어 있습니다.
이 취약점은 Wordfence에 의해 공개적으로 공개되었으며, 국가 취약점 데이터베이스(NVD)에 추가되었습니다. 이는 모든 버전의 '모터스' 테마에 영향을 미치는 권한 상승 문제로, 5.6.67 버전까지 포함됩니다. Wordfence는 "이 취약점은 테마가 사용자의 신원을 업데이트하기 전에 제대로 확인하지 않기 때문에 발생한다", "이로 인해 인증되지 않은 공격자가 임의의 사용자 비밀번호, 관리자를 포함하여 변경할 수 있으며, 이를 이용해 그들의 계정에 접근할 수 있다."고 설명했습니다. 관리자 수준의 접근 권한을 얻게 되면, 공격자는 악성 소프트웨어를 심거나, 데이터베이스 내용과 민감한 회원 정보를 추출하거나, 방문자를 위험한 사이트로 리디렉션할 수 있습니다.
StylemixThemes는 2025년 5월 14일에 CVE-2025-4322를 해결하는 '모터스' 버전 5.6.68을 출시했습니다. 워드프레스 테마는 웹사이트의 핵심이며, 일시적으로 비활성화하거나 쉽게 교체할 수 없으므로, 가능한 한 빨리 최신 버전으로 업그레이드하는 것이 중요합니다. 제조사는 워드프레스 패널, Envato API, 또는 FTP를 통해 '모터스'를 업데이트하는 방법에 대한 자세한 온라인 가이드를 제공하고 있습니다. 테마 구성 요소를 업데이트하기 전에 웹사이트를 백업하는 것이 중요합니다. 이 문제는 수백만 개의 웹사이트에서 활성화된 워드프레스 플러그인에 영향을 미치지 않지만, 여전히 중요한 위험을 초래합니다.
- 워드프레스의 프리미엄 테마 '모터스'에서 중요한 권한 상승 취약점이 발견되었다.
- 이 취약점은 인증되지 않은 공격자가 관리자 계정을 탈취하고 웹사이트를 완전히 통제할 수 있게 한다.
- 이 취약점은 모든 버전의 '모터스' 테마에 영향을 미치는 권한 상승 문제로, 5.6.67 버전까지 포함된다.
- StylemixThemes는 2025년 5월 14일에 이 취약점을 해결하는 '모터스' 버전 5.6.68을 출시했다.
- 워드프레스 테마는 웹사이트의 핵심이며, 일시적으로 비활성화하거나 쉽게 교체할 수 없으므로, 가능한 한 빨리 최신 버전으로 업그레이드하는 것이 중요하다.
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.