워드프레스 폼 작성 플러그인인 Ninja Forms에는 사용자 데이터를 도난당할 수 있고, 권한 상승을 가능하게 하는 취약점이 세 가지 포함되어 있다는 연구결과가 나왔습니다. 이 연구는 Patchstack에서 이루어졌으며, 이 취약점들은 Ninja Forms의 개발사인 Saturday Drive에 2023년 6월 22일에 공개되었습니다. 그들은 Ninja Forms 버전 3.6.25 이하에서 이 문제가 발생함을 경고했습니다.
위의 취약점으로 인해 약 400,000개의 사이트가 위험에 노출되어 있습니다. 이 중 첫 번째 취약점은 인증되지 않은 사용자가 특수 제작된 웹페이지를 방문하도록 한 사용자를 피해 데이터를 취득하고 권한을 상승시키는 것입니다. 그리고 나머지 두 가지 취약점은 플러그인의 양식 제출 내보내기 기능에 대한 접근 제어가 불충분하여, 사용자가 워드프레스 사이트에 제출한 모든 데이터를 내보낼 수 있게 하는 문제입니다.
때문에, 모든 웹 사이트 관리자들은 가능한 한 빨리 Ninja Forms 플러그인을 3.6.26 버전 이상으로 업데이트하거나, 패치를 적용할 수 있을 때까지 플러그인을 비활성화해야 합니다.
요약
- 워드프레스 플러그인 Ninja Forms에 세 가지 취약점이 발견되어 사용자 데이터 도난과 권한 상승이 가능하다.
- 약 400,000개의 사이트가 이 취약점으로 인해 공격에 노출되어 있다.
- 모든 웹사이트 관리자들은 Ninja Forms 플러그인을 가능한 한 빨리 최신 버전으로 업데이트하거나 패치를 기다리는 동안 플러그인을 비활성화해야 한다.
Reference
*※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.