[긴급] 워드프레스 플러그인에서 위험도 9.9 등 치명적 취약점 3개 발견

3줄 요약
1. VibeThemes WPLMS에서 발견된 SQL Injection 취약점(CVE-2024-56047) : 위험도 점수 8.5점
2. 부적절한 권한 검증 취약점(CVE-2024-56048) : 위험도 점수 8.8점
3. 파일 업로드 취약점(CVE-2024-56050, CVE-2024-56052) : 위험도 점수 9.9점

[보안뉴스 권준 기자] 웹페이지 제작 및 관리를 위한 오픈소스 콘텐츠 관리 시스템 Wordpress(워드프레스)의 유명 플러그인에서 3가지 치명적 취약점이 발견돼 시급한 보안 업데이트와 함께 각별한 주의가 요구된다.

[이미지=gettyimagesbank]

워드프레스의 플러그인 VibeThemes WPLMS에서 발견된 3가지 취약점은 △ SQL Injection 취약점(CVE-2024-56047) △부적절한 권한 검증 취약점(CVE-2024-56048) △파일 업로드 취약점(CVE-2024-56050, CVE-2024-56052)으로 해당 취약점 악용시 권한 탈취 및 데이터베이스(DB) 장악 등이 가능할 만큼 위험도가 매우 높고 심각한 피해가 발생할 수 있다.

먼저 SQL Injection 취약점은 웹 애플리케이션의 입력 필드나 URL에 악의적인 SQL 코드를 삽입해 데이터베이스를 비정상적으로 조작하거나 민감한 정보를 탈취할 수 있는 취약점으로, 국제 민간보안기구인 OWASP에서 선정한 취약점 1위에 랭크되어 있을 만큼 가장 다양하고 위험한 취약점이다.

또한, 부적절한 권한 검증 취약점은 웹 사이트에서 요청이 발생할 때 적절한 인증 과정이 없어 중요 정보를 타인이 열람, 수정, 삭제 등을 할 수 있는 취약점이다.

마지막으로 파일 업로드 취약점은 웹 애플리케이션에 파일이 업로드 되기 전에 유효성 검사가 구현되지 않았거나 안전하지 않은 방식으로 구현된 경우 악성 파일을 업로드할 수 있는 취약점을 의미한다. 각각의 취약점에 영향을 받는 제품 버전과 해결 버전은 아래와 같다.

▲3개의 취약점에 영향을 받는 제품 버전과 해결 버전[표=KISA]

이번 워드프레스 플러그인 VibeThemes WPLMS에서 발견된 SQL Injection 취약점(CVE-2024-56047)은 취약점 위험도 점수가 8.5점, 부적절한 권한 검증 취약점(CVE-2024-56048)은 8.8점, 그리고 파일 업로드 취약점(CVE-2024-56050, CVE-2024-56052)은 10점 만점에 9.9점에 달할 만큼 치명적인 수준이라 신속한 보안 업데이트가 요구된다.

워드프레스 사용자는 웹페이지 제작 및 관리를 위해 다양한 플러그인과 연동하게 되는데, 플러그인 취약점으로 인한 보안 이슈가 꾸준히 발생하고 있는 만큼 플러그인을 설치할 때는 공식 웹사이트 등 신뢰할 수 있는 곳에서 내려받아야 한다. 또한, 다운로드 하기 전에는 사용자들의 리뷰를 통해 보안 이슈 등을 체크할 필요가 있다.
[권준 기자(editor@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)