2024-03-29 13:45 (금)
워드프레스, XSS 등 멀티취약점 인정…패치계획은 無
상태바
워드프레스, XSS 등 멀티취약점 인정…패치계획은 無
  • 길민권
  • 승인 2012.01.26 19:59
이 기사를 공유합니다

PHP 코드실행과 XSS 취약점…”위험성 적어 패치계획 없다”
설치형 블로그 서비스인 워드프레스(WordPress) 디폴트 인스톨 페이지에 취약한 문자열이 발견됐다. 또 PHP 코드실행과 지속적인 XSS(크로스 사이트 스크립팅) 취약점 등이 존재하는 것으로 조사됐다. 이 취약점은 3.3.1버전과 이후 버전에 영향을 미친다.
 
한편 워드프레스측은 이 취약점이 공격자들에게 아주 작은 공격 가능성만 열어주고 있기 때문에 취약점을 패치할 계획은 없다고 밝혔다.
 
이 취약점은 TrustWave's SpiderLabs(트러스트웨이브 스파이더랩) 전문가들에 의해 발견됐으며 이 사실을 워드프레스측에 전달했다. 그 전문가들은 어떻게 공격이 이루어지는지 워드프레스측에 알려줬다. 다만 공격이 이루어지기 위해서는 특별한 조건에서 가능하다고 전했다.
 
“워드프레스의 'setup-config.php' 설치페이지는 유저들이 로컬이나 원격 MySQL데이터베이스에 인스톨을 허용하고 있다. 이때 일반적으로 유저들에게 유효한 MySQL 인증서를 요구한다. 그러나 악의적인 공격자는 자신의 MySQL 데이터베이스 서버에 호스트할 수 있고 타깃 시스템에 유효한 인증서 없이 워드프레스에 성공적으로 인스톨할 수 있다”고 설명했다.
 
또 “워드프레스에 인스톨 후, 악의적 공격자는 워트프레스 테마 에디터를 통해 악의적 PHP코드를 주입할 수 있다. 추가적으로 데이터베이스 저장소를 통제할 수 있고 악의적 자바스크립트는 워드프레스 콘텐트에 크로스 사이트 스크립팅을 삽입할 수 있다”고 설명했다.
 
또한 워드프레스 설치시 셋업 페이지에 다른 XSS 취약점이 존재하는 것도 밝혀졌다.
 
그들은 “워드프레스 'setup-config.php' 설치페이지는 유저들이 로컬이나 원격 MySQL 데이터베이스에서 워드프레스 설치를 허용하고 있다. 인스톨 페이지를 사용할 때, 유저는 데이터베이스 네임과 데이터베이스가 존재하는 서버, 유효한 MySQL 유저네임 그리고 패스워드를 입력할 것을 요구받는다. 이 과정이 진행되는 동안, 악의적 공격자는 "dbname", "dbhost" 혹은 "uname" 파라미터들 내에 자바스크립트를 적용할 수 있다. 제출버튼을 클릭시, 자바스크립트는 클라이언트 브라우저에 랜더링된다”고 주장했다.
 
이에 워드프레스측은 이 취약점에는 전혀 리스크가 없다. 그래서 해당 패치를 지원할 생각은 없다고 밝히고 있다.
[데일리시큐=길민권 기자]
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★