Home > 전체기사
워드프레스의 GDPR 플러그인에서 치명적인 취약점 발견돼
  |  입력 : 2020-02-14 21:31
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
GDPR 준수를 도와주는 플러그인...인기 급증하던 와중에 치명적 결함 발견돼
1.8.2 이하 버전에서는 공격자가 웹사이트 사실상 장악 가능...1.8.3 업데이트 필요


[보안뉴스 문가용 기자] 인기 높은 워드프레스(WordPress) 플러그인에서 치명적인 취약점이 발견됐다. 이 플러그인은 GDPR 준수 여부를 확인해주는 기능을 가지고 있어 사용률이 빠르게 늘어나고 있었다. 취약점 익스플로잇에 성공할 경우 공격자는 콘텐츠를 조작하거나 악성 자바스크립트 코드를 주입할 수 있게 된다. 플러그인 개발사는 이를 빠르게 업데이트했다.

[이미지 = iclickart]


문제의 플러그인은 GDPR 쿠키 콘센트(GDPR Cookie Consent)로, GDPR 준수에 도움을 줌으로써 이미 70만 번이 넘게 설치된 전적을 가지고 있다. 이런 곳에서 취약점이 발견됐으니, 공격자들에게 매력적인 표적이 될 수밖에 없었다.

취약점에는 아직 CVE 번호가 부여되지 않았지만, GDPR 쿠키 콘센트 1.8.2 및 이하 버전에서 발견되고 있다고 한다. 취약점 발견 소식과 함께 워드프레스 플러그인 디렉토리 관리자인 WordPress.org는 해당 플러그인을 삭제했다. 개발사인 쿠키 로 인포(Cookie Law Info)는 2월 10일 1.8.3 버전을 발표했다.

해당 취약점을 발견한 건 닌테크넷(NinTechNet)의 보안 전문가인 제롬 브루안뎃(Jerome Bruandet)이라는 인물로, 패치가 나오고 나서 상세한 취약점 기술 내역을 공개하기도 했다. 브루안뎃이 공개한 바에 따르면 취약점은 ‘GDPR 쿠키 콘센트’ 플러그인의 에이잭스(AJAX) API에 존재한다고 한다. 특히 “_construct”라는 메소드에서 문제가 있는 것으로 나타났다. “쉽게 말하면 해당 메소드에는 새로운 객체 생성 후 확인하는 기능이 없습니다.”

이 때문에 원래는 관리자만 접근할 수 있어야 하는 에이잭스 엔드포인트가 일반 사용자들에게도 접근 가능한 것이 되어버리고 만다. “이 메소드는 에이잭스 API로부터 세 가지 값을 받습니다. 이 중 save_contentdata와 autosave_contant_data를 공격자들이 악용할 수 있게 됩니다.”

save_contentdata를 악용할 경우 관리자가 GDPR 쿠키 알림 메시지를 데이터베이스에 페이지 포스트 유형으로 저장할 수 있게 된다. 하지만 이 값이 제대로 확인되지 않기 때문에 아무나 현존하는 페이지나 포스트 혹은 웹사이트 전체를 조작할 수 있게 된다고 브루안뎃은 설명한다. “심지어 사이트를 오프라인으로 만들 수도 있게 되죠.”

autosave_contant_data는 GDPR 쿠키 정보 페이지를 관리자가 편집하는 과정 중에 배경에서 자동으로 저장하는 기능이다. 이 때 데이터는 cli_pg_content_data 데이터베이스 필드에 저장되는데, 이 과정에서 확인이라는 절차가 진행되지 않는다. 이 때문에 자바스크립트 코드를 웹 페이지에 주입하는 게 가능해진다. 이 경우 코드가 페이지 로딩 시마다 실행될 수 있다.

브루안뎃은 “이 취약점은 웹사이트를 크게 망쳐놓을 수 있게 해주는 것으로, 빠른 업데이트가 필요하다”고 촉구했다. 그는 포스팅을 통해 “사용자들은 최대한 빨리 1.8.3 버전으로 업데이트를 하셔야 합니다.”

3줄 요약
1. 워드프레스의 인기 플러그인에서 치명적인 취약점 발견됨.
2. 이 플러그인은 GDPR 준수 여부를 확인해주는 것으로, 빠르게 퍼지는 중이었음.
3. 개발사는 이를 얼른 수정해 1.8.3 버전을 발표함.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
데이터3법 통과로 데이터 보안의 중요성이 더욱 커지고 있는 가운데 귀사에서 사용하고 있는 DB암호화 솔루션의 만족도는 어느 정도인가요?
매우 만족
만족
보통
불만족
당장 바꾸고 싶다
올해 도입 예정
필요성을 못 느낀다
기타(댓글로)