40,000개 이상의 활성 설치가 있는 인기 있는 WordPress 플러그인 – Advanced Contact Form 7 DB에서 매우 심각한 SQLi 취약점이 발견되었습니다. 문의 양식 7 취약점은 3월 26일에 처음 보고되었으며 새로운 패치 버전 1.6.1이 이틀 전 4월 10일에 게시되었습니다. 패치된 버전이 있지만 현재 사용자는 이 취약점이 구독자 계정을 가지고 있는 사람들에 의해 악용될 수 있기 때문에 여전히 걱정할 이유가 있습니다.
위험 상태 - 고급 문의 양식 7 취약점
이 취약점에 연결된 위험은 악의적인 사람이 더 악용할 수 있으므로 위험 범주에 포함될 수 있습니다. 이 취약점은 또한 해커가 데이터베이스에 더러운 코드를 삽입하고 귀중한 데이터에 액세스할 수 있는 무료 항목으로 작용할 수 있습니다.
간단히 말해서 다음과 같이 잘못될 수 있습니다.
- 악의적인 행위자가 데이터베이스에 악성 콘텐츠를 삽입할 수 있음
- 해커가 민감한 데이터를 유출할 수 있음
- 이로 인해 WordPress 설치가 손상될 수도 있습니다.
플러그인 개발자는 패치 버전을 빠르게 출시했습니다. 결과적으로 WordPress는 The Yuzo 관련 게시물에서와 같이 플러그인을 일시 중단하지 않았습니다. 플러그인은 불과 이틀 전입니다. 고급 문의 양식 7 DB는 새 설치에 계속 사용할 수 있습니다. Advanced Contact Form 7DB를 검색했을 때 얻은 것입니다. WordPress 플러그인 디렉토리에 있습니다.
WordPress 보안이 걱정되십니까? Astra Website Security를 방문하거나 채팅 위젯에 메시지를 남겨주시면 기꺼이 도와드리겠습니다. 지금 WordPress 웹사이트를 수정하세요.
세부정보- 고급 문의 양식 7 취약점
따라서 WordPress에는 기본적으로 wp-ajax-parse-media-shortcode라는 기능이 있습니다. 코드 작성자가 긴 코드 대신 짧은 코드를 사용하기 위해. 이를 사용하여 플러그인 개발자는 단축 코드 acf7db를 정의했습니다. public/class-advanced-cf7-db-public.ph 피 파일.
이 외에도 플러그인 개발자는 wpdb::prepare 피벗 세부 정보를 하나 더 무시했습니다. wpdb::준비 유효하고 인증된 쿼리만 사용할 수 있도록 SQL 쿼리를 삭제하는 데 사용됩니다. 코드 작성자는 wpdb->get_results()를 사용했습니다. wpdb::prepare, 대신 이는 쿼리 삽입에 매우 안전한 방법이 아닙니다. 취약한 코드는 아래 그림과 같습니다.
$fid 결과적으로 악성 코드를 쿼리로 받아 심각한 사고로 이어질 수 있습니다. 그러나 아직 악용 사례가 보고되지 않았음을 여기에서 선언해야 합니다. 사용자에게 미리 경고하기 위한 예방 조치일 뿐입니다.
필요한 조치
이 플러그인 업데이트 웹사이트 근처에 올 수 있는 위협을 최대한 빨리 우회하십시오. 그런 다음 테마 업데이트로 이동할 수 있습니다. 및 비밀번호 재설정 . 이 취약점을 악용하면 민감한 기밀 데이터가 공격자에게 누출될 수 있습니다.
가능한 많은 공격으로부터 웹사이트를 보호하기 위해 단 $19/월에 제공되는 Astra의 Malware Scanner를 사용할 수 있습니다. 또한 VAPT(취약점 평가 및 침투 테스트) 서비스를 통해 엔지니어가 웹사이트를 철저히 확인하고 가능한 모든 취약점을 수정합니다.
지금 Astra 데모를 받아보세요!
