WordPress Jetpack plugin critical flaw impacts 27 million sites
WordPress Jetpack plugin critical flaw impacts 27 million sites
WordPress Jetpack plugin issued an update to fix a critical flaw allowing logged-in users to view form submissions by others on the same site.
securityaffairs.com
- 취약점 개요
- WordPress Jetpack 플러그인에서 로그인된 사용자가 동일 사이트의 다른 사용자 폼 제출 내용을 볼 수 있는 치명적 취약점 발견
- Automattic이 개발한 Jetpack은 웹사이트 기능 향상, 보안, 성능 개선을 위한 다양한 기능을 제공하는 인기 플러그인으로, 현재 2,700만 개 이상의 WordPress 사이트에서 사용 중
- Jetpack 3.9.9 버전(2016년 릴리스) 이후 모든 버전에 영향을 미쳤으며, 버전 13.9.1에서 해당 취약점이 수정
- 취약점 발견 및 수정
- 내부 보안 감사 중 취약점 발견, Jetpack의 Contact Form 기능에서 발생
- 사이트의 로그인된 사용자가 방문자가 제출한 폼 데이터를 읽을 수 있는 문제로, 자동 업데이트를 통해 대부분의 사이트가 최신 버전으로 갱신 중
- 플러그인 유지 보수 팀은 실제 환경에서 악용된 증거는 없으나, 업데이트가 발표된 만큼 악용 가능성을 경고
- 보안 권고 사항
- 플러그인 팀은 Jetpack 사이트의 보안 유지를 위해 코드베이스를 정기적으로 감사할 예정
- 모든 관리자에게 즉시 최신 버전 업데이트 권장
'Kant's IT > Vulnerability' 카테고리의 다른 글
| XML-RPC npm 라이브러리, 데이터 탈취 및 암호화폐 채굴에 악용 (1) | 2024.11.30 |
|---|---|
| CISA, Fortinet 및 Ivanti 취약점 KEV 목록에 추가 (0) | 2024.11.25 |
| Veeam 취약점 악용을 통한 Akira 및 Fog 랜섬웨어 확산 (0) | 2024.11.23 |
| Fortigate SSLVPN 취약점 악용 (CVE-2024-23113) (0) | 2024.11.23 |
| Angular-base64-upload 데모 스크립트 악용 취약점 (CVE-2024-42640) (0) | 2024.11.23 |