Wordfence 위협 정보팀은 블로그를 통해 400만 개 이상의 WordPress 웹사이트에 설치된 인기 애드온인 LiteSpeed Cache 플러그인의 크로스 사이트 스크립팅(XSS) 취약점을 책임감 있게 공개했다고 밝혔습니다. 이 취약점은 기여자 권한을 가진 해커가 단축 코드를 사용하여 악성 스크립트를 삽입할 수 있도록 허용했습니다.
LiteSpeed Cache는 캐싱 및 서버 수준 최적화를 통해 WordPress 웹사이트 속도를 향상시키는 플러그인입니다. 이 플러그인은 WordPress에 추가되면 Edge Side 기술을 사용하여 블록을 캐싱하는 데 사용할 수 있는 단축 코드를 제공합니다.
그러나 Wordfence는 해당 플러그인의 단축 코드 구현 방식이 안전하지 않아 임의의 스크립트가 해당 페이지에 삽입될 수 있다고 밝혔습니다. 취약한 코드를 조사한 결과, 단축 코드 방식이 입력과 출력을 제대로 검사하지 않는 것으로 드러났습니다. 이로 인해 공격자는 XSS 공격을 수행할 수 있었습니다. 스크립트가 페이지나 게시물에 삽입되면 사용자가 해당 페이지를 방문할 때마다 스크립트가 실행됩니다.
LiteSpeed Cache는 WordPress 플랫폼의 속도 향상을 위한 유명한 플러그인입니다.
이 취약점을 악용하려면 손상된 기여자 계정이나 사용자가 기여자로 등록해야 하지만, Wordfence에 따르면 공격자는 민감한 정보를 훔치고, 웹사이트 콘텐츠를 조작하고, 관리자를 공격하고, 파일을 편집하거나 방문자를 악성 웹사이트로 리디렉션할 수 있습니다.
Wordfence는 8월 14일 LiteSpeed Cache 개발팀에 연락했다고 밝혔습니다. 패치는 8월 16일에 배포되었고, 10월 10일 WordPress에 배포되었습니다. 이제 사용자는 이 보안 결함을 완전히 해결하려면 LiteSpeed Cache를 5.7 버전으로 업데이트해야 합니다. 위험하기는 하지만, Wordfence 방화벽에 내장된 크로스 사이트 스크립팅(XSS) 보호 기능이 이 취약점을 예방하는 데 도움이 되었습니다.
[광고_2]
소스 링크
댓글 (0)