2015.03.13

인기 워드프레스 SEO 플러그인 취약점 발견… 웹사이트 100만 곳 이상 피해

Lucian Constantin | IDG News Service
검색 엔진 최적화를 위한 인기 플러그인이 해킹을 당하면서 100만 개 이상의 워드프레스(WordPress) 웹사이트가 피해를 입었다.

이 워드프레스 SEO 플러그인은 네덜란드의 웹사이느 최적화 업체인 요스트(Yoast)가 개발한 것으로, 공격자들이 사이트의 데이터베이스를 조작하고 가짜 관리자 계정을 추가할 수 있도록 하는 취약점이 포함되어 있는 것으로 나타났다.

취약점 스캐너인 WP스캔(WPScan)의 공동 개발자 라이언 듀허스트가 이 ‘블라인드 SQL 인젝션(blind SQL injection)’ 취약점을 최초로 발견했다. 워드프레스 SEO 플러그인의 1.7.3.3 이하 버전이 위험에 노출되어 있다.

이론적으로 취약점을 악용하려면 인증이 필요하다. 그러나 이 SEO 플러그인에는 CSRF(cross-site request forgery) 방어 장치가 되어있지 않아서, 공격자들은 관리자나 에디터 등 인증 받은 사용자들이 특별히 고안된 링크를 클릭하거나 악성 페이지를 방문하도록 속여서 취약점을 악용할 수 있다.

CSRF 공격은 사용자의 브라우저가 공격자가 제어하고 있는 웹 페이지를 방문했을 때, 승인하지 않은 행동을 취하도록 만든다. 이러한 공격을 막기 위해서는 웹사이트에 특별한 보안 매커니즘이 적용되어 있어야 한다.

요스트는 해당 취약점을 패치한 워드프레스 SEO 플러그인의 1.7.4 버전을 배포했다.

지금까지 요스트의 워드프레스 SEO 플러그인은 1,420만 번 다운로드 되었다. 공식 워드프레스 통계에 따르면, 현재 웹사이트 100만 곳 이상에 설치되어 있는 것으로 나타났다. editor@itworld.co.kr
 


2015.03.13

인기 워드프레스 SEO 플러그인 취약점 발견… 웹사이트 100만 곳 이상 피해

Lucian Constantin | IDG News Service
검색 엔진 최적화를 위한 인기 플러그인이 해킹을 당하면서 100만 개 이상의 워드프레스(WordPress) 웹사이트가 피해를 입었다.

이 워드프레스 SEO 플러그인은 네덜란드의 웹사이느 최적화 업체인 요스트(Yoast)가 개발한 것으로, 공격자들이 사이트의 데이터베이스를 조작하고 가짜 관리자 계정을 추가할 수 있도록 하는 취약점이 포함되어 있는 것으로 나타났다.

취약점 스캐너인 WP스캔(WPScan)의 공동 개발자 라이언 듀허스트가 이 ‘블라인드 SQL 인젝션(blind SQL injection)’ 취약점을 최초로 발견했다. 워드프레스 SEO 플러그인의 1.7.3.3 이하 버전이 위험에 노출되어 있다.

이론적으로 취약점을 악용하려면 인증이 필요하다. 그러나 이 SEO 플러그인에는 CSRF(cross-site request forgery) 방어 장치가 되어있지 않아서, 공격자들은 관리자나 에디터 등 인증 받은 사용자들이 특별히 고안된 링크를 클릭하거나 악성 페이지를 방문하도록 속여서 취약점을 악용할 수 있다.

CSRF 공격은 사용자의 브라우저가 공격자가 제어하고 있는 웹 페이지를 방문했을 때, 승인하지 않은 행동을 취하도록 만든다. 이러한 공격을 막기 위해서는 웹사이트에 특별한 보안 매커니즘이 적용되어 있어야 한다.

요스트는 해당 취약점을 패치한 워드프레스 SEO 플러그인의 1.7.4 버전을 배포했다.

지금까지 요스트의 워드프레스 SEO 플러그인은 1,420만 번 다운로드 되었다. 공식 워드프레스 통계에 따르면, 현재 웹사이트 100만 곳 이상에 설치되어 있는 것으로 나타났다. editor@itworld.co.kr
 


X