보안 결함으로 인해 20만 개의 WordPress 웹사이트가 위험에 처했습니다.

The Hacker News 에 따르면, CVE-2023-3460(CVSS 점수 9.8)으로 추적된 이 취약점은 2023년 6월 29일에 출시된 최신 버전(2.6.6)을 포함하여 Ultimate Member 플러그인의 모든 버전에 존재합니다.

Ultimate Member는 WordPress 웹사이트에서 사용자 프로필과 커뮤니티를 만드는 데 널리 사용되는 플러그인입니다. 또한 계정 관리 기능도 제공합니다.

WPScan - WordPress 보안 회사는 이 보안 결함이 너무 심각해서 공격자가 이를 악용하여 관리자 권한이 있는 새로운 사용자 계정을 만들 수 있고, 해커가 영향을 받는 웹사이트를 완전히 제어할 수 있다고 밝혔습니다.

악용 우려로 인해 취약점에 대한 자세한 내용은 공개되지 않았습니다. Wordfence의 보안 전문가들은 이 플러그인에 사용자가 업데이트할 수 없는 금지 키 목록이 있지만, 플러그인 버전에서 제공하는 값에 슬래시나 문자 인코딩을 사용하는 등 필터를 우회하는 간단한 방법이 있다고 설명합니다.

이 보안 결함은 영향을 받는 웹사이트에 가짜 관리자 계정이 추가되었다는 신고가 접수된 후 공개되었습니다. 이로 인해 플러그인 개발자들은 버전 2.6.4, 2.6.5, 2.6.6에서 부분적인 수정을 진행했습니다. 새로운 업데이트는 향후 며칠 내에 제공될 예정입니다.

Ultimate Member는 새 릴리스에서 권한 상승 취약점이 UM Forms를 통해 악용되어 권한이 없는 사용자가 관리자 수준의 WordPress 사용자를 생성할 수 있었다고 밝혔습니다. 그러나 WPScan은 패치가 불완전하며 이를 우회하는 여러 가지 방법을 발견했기 때문에 이 버그가 여전히 악용될 가능성이 있다고 지적했습니다.

이 취약점은 apads, se_brutal, segs_brutal, wpadmins, wpengine_backup, wpenginer라는 이름으로 새 계정을 등록하여 웹사이트 관리자 패널을 통해 악성 플러그인과 테마를 업로드하는 데 악용되고 있습니다. Ultimate 회원은 이 취약점에 대한 전체 패치가 제공될 때까지 플러그인을 비활성화하는 것이 좋습니다.