WordPress The Events Calendar 플러그인 보안 업데이트 권고(CVE-2024-8275) - ASEC
- 개요
- WordPress The Events Calendar 플러그인에서 발생하는 SQL 주입(SQL Injection) 취약점을 해결하는 보안 업데이트가 발표되었음
- 해당 시스템 사용자는 최신 버전으로 업데이트할 것을 권고
- 대상 제품
- The Events Calendar 버전 6.6.4 이하
- 해결된 취약점
- CVE-2024-8275: Unauthenticated SQL Injection
- tribe_has_next_event 함수의 order 매개변수를 통해 SQL 주입이 발생할 수 있는 취약점
- 사용자 제공 매개변수에 대한 이스케이프 처리가 충분하지 않고 SQL 쿼리에 대한 준비 부족으로 인해 공격자가 추가적인 SQL 쿼리를 삽입할 수 있음
- 비인증된 공격자가 이를 악용하여 데이터베이스에서 민감한 정보를 추출할 수 있음
- 이 취약점은 tribe_has_next_event() 함수가 수동으로 추가된 사이트에서만 발생
- CVE-2024-8275: Unauthenticated SQL Injection
- 취약점 패치
- The Events Calendar 버전 6.6.4.1에서 해당 SQL 주입 취약점이 해결되었음
- 영향받는 버전을 사용하는 경우 최신 버전으로 즉시 업데이트 필요
- 조치 사항
- The Events Calendar 플러그인의 버전 6.6.4.1 또는 이후 버전으로 업데이트
- 공식 사이트 및 관련 문서를 통해 패치 방법 확인 후 적용
- 참고 사이트
'Kant's IT > Vulnerability' 카테고리의 다른 글
| Cisco 제품군 2024년 9월 2차 보안 업데이트 권고 (1) | 2024.10.01 |
|---|---|
| Flatpak 보안 업데이트 권고 (CVE-2024-42472) (1) | 2024.10.01 |
| NVIDIA 제품 보안 업데이트 권고 (CVE-2024-0132) (1) | 2024.10.01 |
| 10년 넘은 리눅스 취약점 발견, 심각도 9.9점…조직의 대비 필요 (1) | 2024.10.01 |
| ChatGPT macOS 취약점으로 인한 장기 스파이웨어 설치 가능성 (2) | 2024.09.30 |