WordPress 6.4.2 패치, 심각한 보안 취약점 발견

The Hacker News에 따르면, WordPress는 심각한 보안 취약점을 패치한 버전 6.4.2를 출시했습니다. 이 취약점은 해커가 다른 버그와 결합하여 취약점이 여전히 존재하는 웹사이트에서 임의의 PHP 코드를 실행할 수 있는 악용 사례가 있습니다.

회사 측은 원격 코드 실행 취약점은 핵심 부분에서 직접 악용될 수 없지만, 보안팀은 특히 다중 사이트 설치에서 특정 플러그인과 결합될 경우 심각한 취약점을 초래할 가능성이 있다고 생각한다고 밝혔습니다.

보안 회사 Wordfence에 따르면, 이 문제는 블록 편집기의 HTML 파싱을 개선하기 위해 버전 6.4에 도입된 클래스에서 비롯됩니다. 이를 통해 공격자는 이 취약점을 악용하여 플러그인이나 테마에 포함된 PHP 객체를 삽입할 수 있으며, 이러한 객체들을 조합하여 임의 코드를 실행하고 대상 웹사이트를 제어할 수 있습니다. 결과적으로 공격자는 임의 파일을 삭제하거나, 민감한 데이터를 가져오거나, 코드를 실행할 수 있습니다.

Patchstack은 유사한 권고문을 통해 11월 17일 GitHub에서 익스플로잇 체인이 발견되어 PHPGGC(PHPGC) 프로젝트에 추가되었다고 밝혔습니다. 사용자는 웹사이트를 직접 확인하여 최신 버전으로 업데이트해야 합니다.

워드프레스는 무료로 사용할 수 있고 전 세계적으로 널리 사용되는 콘텐츠 관리 시스템입니다. 간편한 설치와 폭넓은 지원을 통해 온라인 스토어, 포털, 토론 포럼 등 다양한 웹사이트를 빠르게 제작할 수 있습니다.

W3Techs의 데이터에 따르면 WordPress는 2023년에 인터넷상의 모든 웹사이트 중 45.8%를 차지할 것으로 예상되는데, 이는 2022년의 43.2%보다 증가한 수치입니다. 즉, 5개 웹사이트 중 2개 이상이 WordPress를 기반으로 운영된다는 의미입니다.