해커들은 15만 개가 넘는 웹사이트에 존재하는 Modern Events Calendar WordPress 플러그인의 취약점을 악용해 취약한 사이트에 임의의 파일을 업로드하고 원격으로 코드를 실행하려고 하고 있습니다.
이 플러그인은 Webnus에서 개발한 것으로, 오프라인, 가상 또는 하이브리드 이벤트를 구성하고 관리하는 데 사용됩니다.
공격에 악용된 취약점은 CVE-2024-5441로 식별되었으며 높은 심각도 점수(CVSS v3.1: 8.8)를 받았습니다. 이는 5월 20일 Wordfence의 버그 바운티 엑스트라바간자에서 Friderika Baranyai가 발견하고 책임감 있게 보고했습니다.
Wordfence는 보안 문제를 설명하는 보고서에서 해당 보안 문제는 이벤트의 추천 이미지를 업로드하고 설정하는 데 사용되는 플러그인의 ‘set_featured_image’ 함수에서 파일 형식 검증이 부족하여 발생한다고 설명합니다.
이 함수는 이미지 URL과 게시물 ID를 가져와 첨부 파일 ID를 얻으려 시도하고 찾을 수 없으면 다음을 사용하여 이미지를 다운로드합니다. 웹페이지 가져오기 기능.
이미지를 사용하여 검색합니다. wp_리모트_겟 또는 파일_내용_가져오기WordPress 업로드 디렉토리에 저장합니다. 파일_내용_넣기 기능.
최신 이벤트 캘린더 버전 7.11.0 이하에서는 업로드된 이미지 파일의 파일 유형이나 확장자를 확인하지 않아 위험한 .PHP 파일을 포함한 모든 파일 유형의 업로드가 가능합니다.
일단 업로드되면 이러한 파일에 접근하여 실행할 수 있으며, 서버에서 원격으로 코드를 실행하고 잠재적으로 웹사이트를 완전히 점유할 수도 있습니다.
구독자와 등록된 회원을 포함한 모든 인증된 사용자는 CVE-2024-5441을 악용할 수 있습니다.
플러그인이 회원이 아닌 사람(계정이 없는 방문자)의 이벤트 제출을 허용하도록 설정된 경우 인증 없이도 CVE-2024-5441이 악용될 수 있습니다.
Webnus는 어제 Modern Event Calendar의 7.12.0 버전을 출시하여 취약점을 해결했습니다. 이는 사이버 공격 위험을 피하기 위해 권장되는 업그레이드입니다.
하지만 Wordfence에 따르면 해커들은 이미 이 문제를 악용해 공격을 시도하고 있으며, 24시간 동안 100건 이상의 시도를 차단했습니다.
지속적인 악용 시도를 감안할 때, Modern Events Calendar와 Modern Events Calendar Lite(무료 버전) 사용자는 가능한 한 빨리 최신 버전으로 업그레이드하거나 업데이트를 수행할 때까지 플러그인을 비활성화해야 합니다.
