패치되지 않은 워드프레스 취약점(CVE-2017-8295), 공격자가 어드민 패스워드 리셋할 수 있게해 Unpatched Wordpress Flaw Could Allow Hackers To Reset Admin Password 세계에서 가장 유명한 CMS인 워드프레스에 취약점이 발견되었습니다. 원격의 공격자는 이를 통해 특정 상황에서 타겟 사용자의 패스워드를 리셋할 수 있습니다. 해당 취약점은 폴란드 보안 연구원 Dawid Golunski가 발견하여 워드프레스에 제보했습니다. 그러나 워드프레스 측은 이 의견을 묵살하였습니다. Dawid Golunski는 "이 문제는 2016년 7월 이후 여러번 제보되었으나, 진전이 없기 때문에 공식 패치 없이 대중에게 공개하게 됐다."고 밝혔습니다. 이번 취약점(CVE-..

국내외 보안동향 2017. 5. 8. 16:55

WordPress 취약점 노리는 다수 공격 발견... 이미 수만 건의 피해 발생WordPress脆弱性狙う複数の攻撃キャンペーン - すでに数万件規模の被害か WordPress를 외부에서 쉽게 조작할 수 있는 취약점이 발견되어, 업데이트되지 않은 사이트에 피해가 확산되고 있습니다. 특정 공격에 의해 이틀만에 수만 개의 페이지가 피해를 입은 것으로 보입니다. ※ 참고 : 심각한 워드프레스 REST API 버그 발견! 해당 취약점을 발견하고 공개한 Sucuri는 기업의 웹 어플리케이션 방화벽(WAF)이나 허니팟(Honeypot)에 대한 공격 상황 등 취약점 공개 후 상황이나 공격 발생상황 등을 정리했습니다. Sucuri에 의한 감지 추이 Sucuri는 취약점을 공개한지 이틀도 채 지나지 않아, 온라인 상에서 복수의..

국내외 보안동향 2017. 2. 8. 15:31

워드프레스 DOM XSS 취약점 발견 워드프레스에서 DOM(Document Object Model) XSS 취약점이 발견되었습니다. 해당 취약점은 Genericons 아이콘 폰트 패키지 내의 'example.html' 파일에 존재합니다. 이 파일은 워드프레스의 기본 테마인 Twentyfifteen와 백만 이상의 실사용자를 보유하고 있는 유명 JetPack 플러그인에도 내장되어 있습니다. 확인 결과, 해당 example.html 파일은 DOM XSS 취약점이 존재하는 구 버전의 jQuery를 사용하는 것으로 밝혀졌습니다. DOM(Document Object Model) 기반의 XSS 공격은 브라우저 내에서 악성 자바 스크립트 코드를 실행시키기 위해 사용자가 악성 링크를 클릭하도록 유도합니다. 공격자는 이러..

국내외 보안동향 2015. 5. 8. 11:10

‘WordPress SEO by Yoast’ 플러그인 취약점, 수 백만 웹사이트에 영향 미쳐'WordPress SEO by Yoast' Plugin Vulnerability Affects Millions 워드프레스 콘텐츠 관리 플랫폼(CMS)의 가장 인기 있는 플러그인에서 수 백만 개의 웹 사이트를 해킹 공격의 위험에 빠트릴 수 있는 심각한 취약점이 발견되었습니다. 해당 취약점은 ‘WordPress SEO by Yoast’ 플러그인 대부분 버전에 존재합니다. 이 플러그인은 블로그를 보다 쉽게 검색 엔진에 최적화(SEO: Search Engine Optimization) 시킬 수 있도록 돕는 툴로 1,400만 다운로드 수를 기록하며 워드프레스의 가장 인기 있는 플러그인 중 하나입니다. Ryan Dewhur..

국내외 보안동향 2015. 3. 12. 17:35