또 다른 플러그인이 계속 증가하는 취약한 WordPress 플러그인 목록에 들어왔습니다. 게시물이나 페이지에 FLV 또는 MP4 비디오를 포함하는 데 사용되는 WordPress 무료 플러그인 FV Flowplayer 비디오 플레이어는 XSS, SQL 주입 및 CSV 내보내기에 취약한 것으로 나타났습니다. 현재 40,000개 이상의 웹사이트에 설치되어 있으며 취약점이 보고된 지 4일 만에 업데이트되었습니다. 7.3.14.727 이전 버전은 언급된 공격에 취약합니다.
FV Flowplayer 비디오 플레이어 SQLi 취약점
FV Flowplayer의 이 다소 치명적인 SQLi 취약점으로 인해 인증되지 않은 공격자가 악성 JavaScript 코드를 삽입할 수 있습니다.
취약한 기능은 `wp_ajax_nopriv_fv_wp_flowplayer_email_signup입니다. ` 아약스 후크. 'email ' 위의 스크립트에서 이메일 필드의 모든 입력을 수락하고 데이터가 민감한 이메일 데이터베이스로 전송됩니다.
WordPress에 SQLi 취약점이 있는 경우 웹사이트가 손상되었는지 여부에 따라 다음 징후가 도움이 될 수 있습니다. 목록은 다음과 같습니다.
- 새 관리자가 추가됨
- 관리자 비밀번호가 작동하지 않음
- 해커가 데이터베이스 스크린샷을 이메일로 보냈습니다.
- Authorize.net 토큰 유출
- 웹사이트 손상
FV Flowplayer 비디오 플레이어 XSS 취약점
위의 악성 코드는 차례로 관리자의 웹 브라우저에서 실행됩니다.
앞서 논의한 바와 같이 악성 입력은 삭제되지 않고 이메일 내보내기 화면에 도달합니다. 이로 인해 지속적인 교차 사이트 스크립팅 공격이 발생할 수 있으므로 그 결과는 치명적일 수 있습니다.
사용자가 `email` POST 매개변수에 제공한 모든 것을 저장합니다.
XSS 취약점은 악용될 경우 WordPress 웹사이트에 심각한 손상을 줄 수 있으므로 매우 심각한 취약점입니다. 아래에 나열된 것은 XSS 취약점으로 인해 발생할 수 있는 몇 가지 가능한 익스플로잇입니다. 또는 이를 침해의 증상으로 취급할 수도 있습니다.
- 다른 사이트로 리디렉션
- 악성 팝업
- 우커머스 신용 카드 해킹
- 웹사이트의 악성 Google 광고
- 웹사이트의 사용자 이름/비밀번호가 손상되었습니다.
FV Flowplayer 비디오 플레이어 CSV 내보내기 취약점
FV 플레이어에서 발견된 또 다른 취약점은 CSV 내보내기 취약점입니다. . 이 취약점은 모든 게스트 사용자가 구독자 목록을 다운로드할 수 있도록 하며, 이는 사실상 개인 정보 보호를 상당히 침해합니다. 그리고 특히 위험하기 때문에 이 데이터는 WordPress 웹사이트를 악용하기 위해 다양한 악의적인 방법으로 사용될 수 있습니다.
안전을 위한 솔루션
취약점을 치료하지 않고 방치하면 잔혹한 사이버 공격이 발생할 수 있습니다. 그리고 당신은 우리 웹사이트를 위해 그것을 원하지 않습니다. 따라서 예측할 수 없는 이 시기에 할 수 있는 최선의 방법은 플러그인을 업데이트하는 것입니다. 또한
최신 버전으로 업데이트
FV Flowplayer Video Player는 최신 버전 7.3.15.727로 패치 버전을 출시했습니다. 플러그인을 이 버전으로 업데이트하면 위험이 크게 완화됩니다.
Astra WordPress 보안 제품군
WordPress에 맞춤화된 Astra 웹사이트 보안은 XSS, SQLi, CSV, 불량 봇 및 100개 이상의 기타 익스플로잇으로부터 웹사이트를 보호하는 웹 애플리케이션 방화벽을 제공합니다. 방화벽 외에도 Astra의 악성코드 스캐너는 웹사이트를 10분 이내에 검사하고 후속 검사에 3분 미만이 소요되는 것으로 알려져 있습니다.
지금 Astra 데모를 다운로드하거나 당사와 채팅하면 기꺼이 도와드리겠습니다.