OMGF Cert EU는 인기 있는 WordPress 플러그인인 “OMGF | GDPR/DSGVO 준수, 더 빠른 Google Fonts. 쉽게”에서 새로운 취약성을 발견했습니다. 이 플러그인은 30만 명 이상의 사용자가 사용하며 웹 사이트에서 사용되는 Google 글꼴이 GDPR 규정을 준수하는 것을 목표로 합니다.
발견된 취약성은 저장된 XSS (Cross-Site Scripting) 공격으로, 미인증된 공격자들에 의해 악용될 수 있습니다. 이 취약성은 CVE-2023-6600으로 식별되었으며 CVSS 점수가 8.6점을 받았습니다. 이는 로그인 자격 증명이 없는 공격자가 플러그인 설정을 수정하고 영향받는 페이지에 악의적인 스크립트를 삽입할 수 있음을 의미합니다.
OMGF 플러그인의 취약성은 미인가된 공격자가 호출하는 update_settings() 함수에서 권한 확인이 부족함에 기인합니다. 이로 인해 공격자는 플러그인 설정을 수정하여 저장된 XSS 공격 및 디렉터리 삭제로 이어질 수 있습니다.
사용자들은 웹사이트를 보호하기 위해 OMGF 플러그인을 5.7.10 버전으로 업데이트하는 것이 좋습니다. 이렇게 하면 사용자들은 이러한 위험에 노출되지 않을 수 있습니다.
FAQ:
저장된 XSS는 무엇인가요?
저장된 XSS (Cross-Site Scripting)는 공격자가 악의적인 스크립트를 웹 사이트나 웹 응용 프로그램에 삽입할 수 있는 취약성으로, 이 스크립트는 해당 사이트를 방문하는 다른 브라우저에서 실행될 수 있어 공격자가 웹 사이트의 콘텐츠와 기능을 제어할 수 있습니다.
저장된 XSS의 결과는 무엇인가요?
저장된 XSS는 많은 불쾌한 결과로 이어질 수 있습니다. 공격자는 페이지의 콘텐츠를 수정하거나 사용자를 사기 사이트로 리디렉션하고 심지어 관리자 계정을 통제할 수 있습니다.
출처:
저자: Cert EU
웹사이트: www.cert.europa.eu