WordPress GiveWP 플러그인 보안 업데이트 권고(CVE-2024-8353) - ASEC
- 개요
- WordPress GiveWP 플러그인에서 발생하는 취약점을 해결하는 보안 업데이트가 발표됨
- 해당 시스템 사용자들은 최신 버전으로 업데이트할 것을 권장
- 대상 제품
- CVE-2024-8353
- GiveWP 버전: ~ 3.16.1(포함)
- CVE-2024-8353
- 해결된 취약점
- PHP 객체 삽입 취약점(CVE-2024-8353)
- 신뢰할 수 없는 입력을 역직렬화할 때 발생하는 PHP 객체 삽입 취약점
- ‘give_title’ 및 ‘card_address’와 같은 매개변수를 통해 공격자가 PHP 객체를 주입할 수 있음
- 이 취약점을 통해 인증되지 않은 공격자가 임의 파일 삭제 및 원격 코드 실행을 할 수 있음
- PHP 객체 삽입 취약점(CVE-2024-8353)
- 취약점 패치
- GiveWP 버전 3.16.2에서 해당 취약점이 해결됨
- 취약점 패치 버전으로 업데이트할 것을 권장
- 취약점 세부 내용
- 이 취약점은 역직렬화를 통한 PHP 객체 삽입을 가능하게 하며, POP 체인이 존재할 경우 공격자가 임의 파일 삭제 및 원격 코드 실행을 할 수 있음
- 이는 이전에 알려진 CVE-2024-5932와 동일한 취약점이지만, stripslashes_deep 함수가 user_info에 적용되어 is_serialized 체크를 우회할 수 있는 문제가 발견됨
- 해당 취약점은 3.16.1 버전에서 부분적으로 패치되었으나, 3.16.2 버전에서 추가적인 보안 강화가 이루어짐
- 보안 조치
- GiveWP 플러그인 사용자는 3.16.2 버전으로 업데이트하여 보안 강화를 적용
- 업데이트되지 않은 시스템은 공격에 노출될 위험이 있음
'Kant's IT > Vulnerability' 카테고리의 다른 글
| Western Digital 제품 보안 업데이트 권고 (0) | 2024.10.12 |
|---|---|
| HPE 제품 보안 업데이트 권고 (0) | 2024.10.12 |
| WatchGuard Authentication Gateway 및 Single Sign-On 보안 조치 권고 (0) | 2024.10.12 |
| DrayTek 제품 보안 업데이트 권고 (2) | 2024.10.12 |
| RPKI의 취약점과 개선 과제 (0) | 2024.10.10 |