Critical Vulnerabilities Found in WordPress Plugins WPLMS and VibeBP
Critical Vulnerabilities Found in WordPress Plugins WPLMS and VibeBP
The vulnerabilities, now patched, posed significant risks, including unauthorized file uploads, privilege escalation and SQL injection attacks
www.infosecurity-magazine.com
- 취약점 개요
- 워드프레스에서 널리 사용되는 WPLMS와 VibeBP 플러그인에서 다수의 치명적 취약점 발견
- 두 플러그인은 WPLMS 프리미엄 LMS(학습관리시스템) 테마의 핵심 구성 요소로, 28,000회 이상의 판매를 기록
- 온라인 강좌 생성, 학생 관리, 교육 콘텐츠 판매 등에 사용
- 발견된 주요 취약점
- 임의 파일 업로드(CVE-2024-56046)
- 악성 파일 업로드를 허용, 원격 코드 실행(RCE)으로 이어질 가능성
- 권한 상승(CVE-2024-56043)
- 인증되지 않은 사용자 또는 낮은 권한의 사용자가 관리자 권한으로 상승 가능
- 사이트 완전 장악 위험
- SQL 삽입(CVE-2024-56042)
- 악성 쿼리를 통해 데이터베이스 정보 유출 가능
- 임의 파일 업로드(CVE-2024-56046)
- 취약점 세부 사항
- 취약점은 등록 폼, REST API 엔드포인트 등에서 발견
- 총 18개의 취약점 중 여러 항목이 치명적으로 평가됨
- 취약점 패치
- WPLMS 버전 1.9.9.5.3, VibeBP 버전 1.9.9.7.7로 패치 출시
- 주요 수정 내용
- 임의 파일 업로드: 업로드 파일 형식 제한, 권한 확인 추가, 취약 코드 제거
- 권한 상승: 등록 시 역할 제한 강화, 허용 옵션 화이트리스트 적용
- SQL 삽입: 입력값 이스케이프 처리 및 취약 변수 보호
- 개발자를 위한 권고 사항
- 업로드 파일에 대한 철저한 검증 및 제한
- 사용자 입력값에 대한 철저한 유효성 검증 및 이스케이프 처리
- 사용자 권한과 역할에 대한 세분화된 제어 적용
- REST API와 같은 엔드포인트에 대해 추가 보안 점검 수행
- 결론
- WPLMS와 VibeBP의 취약점은 워드프레스 생태계에 큰 보안 위험을 초래할 수 있음
- 지속적인 보안 점검과 사용자 측의 신속한 업데이트 적용이 중요
'Kant's IT > Vulnerability' 카테고리의 다른 글
| PyPI에서 발견된 악성 패키지: 개발자 및 사용자 보안 위협 (0) | 2024.12.29 |
|---|---|
| 아파치 주요 프로젝트에서 발견된 심각한 보안 취약점 (0) | 2024.12.29 |
| 프로젝트센드(Project Send) 취약점, 악성 공격의 통로로 악용 (1) | 2024.12.03 |
| 주요 Jenkins 취약점: DoS 공격 및 스크립트 Inject 가능성 (0) | 2024.12.02 |
| 인기 높은 워드프레스 플러그인의 취약점 발견 (0) | 2024.12.01 |