워드프레스의 RealHome 테마와 Easy Real Estate 플러그인에 두 가지 치명적인 취약점이 발견되었습니다. 이 취약점들은 인증되지 않은 사용자가 관리자 권한을 획득할 수 있게 합니다. 이 두 가지 취약점은 2024년 9월에 Patchstack에 의해 발견되었으나, 제작사인 InspiryThemes에게 연락을 시도했음에도 불구하고 아직까지 응답이 없습니다. 또한, Patchstack는 9월 이후 InspiryThemes가 세 가지 버전을 출시했지만, 이 중요한 문제를 해결할 수 있는 보안 수정사항은 없었습니다.
RealHome 테마와 Easy Real Estate 플러그인은 부동산 웹사이트에서 가장 인기 있는 테마와 플러그인 중 하나입니다. Envanto Market 데이터에 따르면, RealHome 테마는 32,600개의 웹사이트에서 사용되고 있습니다. 첫 번째 취약점은 RealHome 테마에 영향을 미치며, 이는 인증되지 않은 권한 상승 문제로 CVE-2024-32444(CVSS 점수: 9.8)로 추적됩니다. 이 테마는 사용자가 inspiry_ajax_register 함수를 통해 새 계정을 등록할 수 있게 하지만, 적절한 권한 확인이나 nonce 검증을 구현하지 않습니다.
Easy Real Estate 플러그인에 영향을 미치는 또 다른 취약점은 소셜 로그인을 통한 인증되지 않은 권한 상승 문제로, CVE-2024-32555(CVSS 점수: 9.8)로 추적됩니다. 이 문제는 소셜 로그인 기능에서 발생하는데, 이 기능은 사용자가 이메일 주소를 사용하여 로그인할 수 있게 하지만, 요청을 하는 사람이 해당 이메일 주소의 소유자인지를 확인하지 않습니다.
요약
- 워드프레스의 RealHome 테마와 Easy Real Estate 플러그인에 두 가지 치명적인 취약점이 발견되었다.
- 이 취약점들은 인증되지 않은 사용자가 관리자 권한을 획득할 수 있게 한다.
- 제작사인 InspiryThemes에게 연락을 시도했음에도 불구하고 아직까지 응답이 없다.
- RealHome 테마와 Easy Real Estate 플러그인은 부동산 웹사이트에서 가장 인기 있는 테마와 플러그인 중 하나이다.
- 이 두 가지 취약점은 각각 CVE-2024-32444와 CVE-2024-32555로 추적되며, 둘 다 인증되지 않은 권한 상승 문제이다.
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.