[긴급] 워드프레스 플러그인에서 위험도 9.9 등 치명적 취약점 3개 발견

3줄 요약
1. VibeThemes WPLMS에서 발견된 SQL Injection 취약점(CVE-2024-56047) : 위험도 점수 8.5점
2. 부적절한 권한 검증 취약점(CVE-2024-56048) : 위험도 점수 8.8점
3. 파일 업로드 취약점(CVE-2024-56050, CVE-2024-56052) : 위험도 점수 9.9점

[보안뉴스 권준 기자] 웹페이지 제작 및 관리를 위한 오픈소스 콘텐츠 관리 시스템 Wordpress(워드프레스)의 유명 플러그인에서 3가지 치명적 취약점이 발견돼 시급한 보안 업데이트와 함께 각별한 주의가 요구된다.

워드프레스의 플러그인 VibeThemes WPLMS에서 발견된 3가지 취약점은 △ SQL Injection 취약점(CVE-2024-56047) △부적절한 권한 검증 취약점(CVE-2024-56048) △파일 업로드 취약점(CVE-2024-56050, CVE-2024-56052)으로 해당 취약점 악용시 권한 탈취 및 데이터베이스(DB) 장악 등이 가능할 만큼 위험도가 매우 높고 심각한 피해가 발생할 수 있다.

먼저 SQL Injection 취약점은 웹 애플리케이션의 입력 필드나 URL에 악의적인 SQL 코드를 삽입해 데이터베이스를 비정상적으로 조작하거나 민감한 정보를 탈취할 수 있는 취약점으로, 국제 민간보안기구인 OWASP에서 선정한 취약점 1위에 랭크되어 있을 만큼 가장 다양하고 위험한 취약점이다.

또한, 부적절한 권한 검증 취약점은 웹 사이트에서 요청이 발생할 때 적절한 인증 과정이 없어 중요 정보를 타인이 열람, 수정, 삭제 등을 할 수 있는 취약점이다.

마지막으로 파일 업로드 취약점은 웹 애플리케이션에 파일이 업로드 되기 전에 유효성 검사가 구현되지 않았거나 안전하지 않은 방식으로 구현된 경우 악성 파일을 업로드할 수 있는 취약점을 의미한다. 각각의 취약점에 영향을 받는 제품 버전과 해결 버전은 아래와 같다.

이번 워드프레스 플러그인 VibeThemes WPLMS에서 발견된 SQL Injection 취약점(CVE-2024-56047)은 취약점 위험도 점수가 8.5점, 부적절한 권한 검증 취약점(CVE-2024-56048)은 8.8점, 그리고 파일 업로드 취약점(CVE-2024-56050, CVE-2024-56052)은 10점 만점에 9.9점에 달할 만큼 치명적인 수준이라 신속한 보안 업데이트가 요구된다.

워드프레스 사용자는 웹페이지 제작 및 관리를 위해 다양한 플러그인과 연동하게 되는데, 플러그인 취약점으로 인한 보안 이슈가 꾸준히 발생하고 있는 만큼 플러그인을 설치할 때는 공식 웹사이트 등 신뢰할 수 있는 곳에서 내려받아야 한다. 또한, 다운로드 하기 전에는 사용자들의 리뷰를 통해 보안 이슈 등을 체크할 필요가 있다.
[권준 기자(editor@boannews.com)]

AI 및 AI 보안 솔루션이 보안 인력의 업무에 어떤 식으로 영향을 미칠것이라고 생각하시나요
	부족한 인력 보충: 만성적인 인력 부족 문제를 해결하는 보완재 역할을 하고 있다(100% 대체는 불가)
	업무 영역의 분리: AI는 대량 데이터 처리를, 전문가는 고도의 전략적 판단을 맡는 등 역할이 완전히 다르다
	업무 총량의 전이: 단순 업무는 줄었으나, AI 모델 관리·검증 등 새로운 형태의 운영 업무가 발생해 전체 업무량은 비슷하다
	인력 대체 가능: 단순 반복 업무를 넘어 분석/판단 영역까지 대체하여 인력을 줄일 수 있다
	신뢰도 부족: 아직은 AI의 오탐이나 환각(Hallucination) 우려로 인해 사람이 일일이 재검토해야 하므로 실질적인 도움은 적다