1백만 워드프레스 웹사이트 위협하는 치명적 취약점 발견
상태바
1백만 워드프레스 웹사이트 위협하는 치명적 취약점 발견
  • 최형주 기자
  • 승인 2020.05.08 11:27
  • 댓글 0
이 기사를 공유합니다

워드프레스 플러그인 Elementor Pro 악용해 웹사이트 장악 가능
백만 곳 이상 웹사이트에 설치, 심각도 무려 9.9점

홈페이지 구축 솔루션 워드프레스(WordPress)의 위협 인텔리전스팀 워드펜스(Wordfence)가 5월 6일 백만 곳 이상의 워드프레스 기반 웹사이트를 해킹할 수 있는 취약점을 발견하고 업데이트를 당부했다. 취약점은 워드프레스의 플러그인 'Elementor Pro'와  'Ultimate Addons'에서 각각 발견됐다.

우선 Elementor Pro 플러그인에서 발견된 취약점은 심각도 점수가 무려 9.9에 달하며, 해당 플러그인은 백만 곳 이상의 웹사이트에 설치돼 있어 문제가 더욱 심각하다. 해커가 해당 취약점을 악용할 경우 웹사이트에 백도어나 웹쉘을 설치할 수 있고, 전체 관리가 권한을 얻어 사이트 자체를 장악할 수 있게 된다. Elementor Pro는 5월 7일 해당 취약점에 대한 패치를 완료했으며, 취약점에 영향을 받는 Elementor Pro 버전은 2.9.3이며, 2.9.4 버전 업데이트를 통해 해결할 수 있다.

다음으로 Ultimate Addons는 약 11만 개 이상의 사이트에 설치되어 있으며, 심각도 점수는 7.2점으로 역시 높은 편이다. 이 취약점은 해커가 회원가입이 설정되지 않은 웹사이트에 가입하고, 원격 코드까지 실행할 수 있게 만든다. 이 취약점에 영향을 받는 Ultimate Addons 버전은 1.24.1이며, 1.24.2 버전으로 업데이트해 해결할 수 있다.

워드펜스는 이번에 발표된 취약점으로 부터 사이트를 보호하기 위해 ▲사이트 내 알 수 없는 가입자 확인 ▲'wp-xmlrpc.php' 파일을 확인해 사이트 손상 여부 파악 ▲/wp-content/uploads/elementor/custom-icons/ 디렉토리 내에 존재하는 알 수 없는 파일이나 폴더를 삭제할 것을 당부했다.

 

*이 기사는 글로벌 정보 보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성되었습니다.

 



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.