플러그인을 감사하는 동안 WPForms Plugin 버전 1.5.8.2 이하가 인증된 저장된 XSS에 취약한 것으로 확인되었습니다. 데이터 삭제가 개선된 WPForms 버전 1.5.9가 2020년 3월 5일에 출시되었습니다.
CVE ID: CVE-2020-10385
요약
WPForms는 3백만 개 이상의 활성 설치가 있는 인기 있는 WordPress 양식 플러그인입니다. 인증된 XSS(Cross-Site Scripting) 취약점에 취약한 것으로 확인되었습니다. XSS는 공격자가 피해자의 세션 쿠키 또는 로그인 자격 증명을 훔치고, 피해자를 대신하여 임의의 작업을 수행하고, 키 입력을 기록하는 등 다양한 악의적인 작업을 수행하기 위해 악용될 수 있는 일종의 취약점입니다.
취약점
양식 설명 및 필드 설명 WPForms 플러그인의 Form Builder 모듈에 있는 필드는 사용자가 제공한 입력을 제대로 삭제하지 않았기 때문에 저장된 XSS에 취약한 것으로 나타났습니다.
인증된 XSS 취약점으로 높은 보안 위협을 제기하지는 않지만 공격자가 WordPress 다중 사이트 설치에서 최고 관리자의 쿠키를 공격자에게 보내거나 리디렉션하도록 악의적인 작업을 수행하기 위해 잠재적으로 악용될 수 있음을 확인할 수 있었습니다. 다른 도메인에 대한 최고 관리자(예:자신이 로그아웃했다가 다시 로그인해야 하므로 자격 증명이 손상됨을 나타내도록 설계된 피싱 페이지).
또한 양식 작성기의 "미리보기" 기능도 반영된 XSS에 취약하다는 것을 알 수 있었습니다.
타임라인
취약점은 2020년 2월 18일 WPForms 팀에 보고되었습니다.
취약점 수정이 포함된 WPForms 버전 1.5.9가 2020년 3월 5일에 릴리스되었습니다.
권장사항
플러그인을 최신 버전으로 업데이트하는 것이 좋습니다. 최상의 보안 방법을 위해 아래 가이드를 따르세요.
- WordPress 보안 가이드
- WordPress 해킹 및 맬웨어 제거
참조
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-10385
- https://wpvulndb.com/vulnerabilities/10114
- WPForms 변경 로그