지난주, Wordfence가 보고한 보안 문제를 패치하기 위해 WPML 4.6.13 및 WPML Multilingual & Multicurrency for WooCommerce 5.3.7을 출시했습니다. 이 수정 사항에 대한 추가 세부 정보와 이것이 사이트 보안에 어떤 의미를 가지는지 공유하고자 합니다.
이벤트 타임라인
WPML에서 보안은 최우선 과제이며, 귀하의 웹사이트가 안전하고 보안이 유지되도록 최선을 다하고 있습니다. 이 수정 작업을 위해 WordPress 보안 커뮤니티에서 가장 존경받는 이름 중 하나인 Wordfence와 긴밀히 협력했습니다.
Wordfence는 7월에 WPML 문제에 대해 저희에게 연락했지만, 안타깝게도 메시지가 스팸 폴더로 들어가 한동안 눈에 띄지 않았습니다. 다행히 8월에 후속 이메일을 보내주셨고, 저희는 즉시 취약점을 패치하고 Wordfence에 검증을 위한 패치 버전을 제공했습니다.
훌륭한 파트너이자 전문가인 Wordfence는 이 과정에서 또 다른 사소한 XSS 취약점을 보고했으며, 저희는 즉시 이 또한 패치했습니다.
그동안 Patchstack에서도 WPML Multilingual & Multicurrency for WooCommerce의 유사한 취약점에 대한 보고를 받았습니다.
수정 사항이 모든 검증을 통과했다는 확인을 받은 후, 8월 20일에 WPML 4.6.13 및 WooCommerce 5.3.7을 출시했습니다.
Wordfence의 핵심 역할
이 기회를 빌어 이러한 취약점을 식별하고 패치하는 데 큰 도움을 주신 Wordfence에 감사드립니다. 저희와 전체 WordPress 생태계에 대한 그들의 작업의 중요성은 아무리 강조해도 지나치지 않습니다.
초기 보고서에 대한 그들의 성실한 후속 조치와 패치 과정 전반에 걸친 협력은 WordPress 커뮤니티에 대한 그들의 헌신을 증명합니다.
이 익스플로잇이 작동하는 방식과 귀하에게 미치는 영향
일부 온라인 기사에서는 이 문제를 백만 개 이상의 사이트에 영향을 미치는 “치명적인 익스플로잇” 으로 설명했습니다. 보안이 심각한 문제라는 점에 전적으로 동의하지만, 이 익스플로잇이 실제 상황에서 정확히 어떻게 작동하는지 명확히 하는 것이 중요합니다.
이 취약점은 악의적인 행위자가 WordPress 사이트에 대한 편집 권한을 가지고 있어야 합니다. 즉, 대상 사이트에서 기여자 또는 그 이상의 사용자 역할을 가지고 있어야 합니다.
그렇긴 하지만, 심각성은 사이트에 어떤 유형의 사용자가 있는지에 따라 달라집니다. 귀하와 귀하의 팀이 사이트의 유일한 관리자/작성자/편집자인 경우, 귀하 또는 귀하의 팀 외에는 이 취약점을 악용할 수 있는 사람이 없습니다.
반면에, 기여자 수준의 액세스 권한을 가진 사용자가 있는 사이트를 운영하고 있고 이들을 개인적으로 알지 못한다면 더 위험할 수 있습니다.
마지막으로, 저희는 WPML 사용자 대다수가 위험에 처한 적이 없다는 점을 강조하고 싶습니다. 패치는 Wordfence와 긴밀히 협력하여 개발, 테스트 및 출시되었으며, 문제는 완전히 해결되었습니다.
항상 그렇듯이, 귀하의 사이트에서 WPML 및 WPML Multilingual & Multicurrency for WooCommerce을 최신 상태로 유지하는 것을 강력히 권장합니다.
우려 사항이 있는 경우
최근 보고서로 인해 우려했을 수 있는 사용자 및 파트너에게는 걱정할 필요가 없음을 알려드립니다. 문제는 신속하고 효과적으로 해결되었으며, 실제 악용되었다는 증거는 없습니다.
궁금한 점이나 우려 사항이 있으면 언제든지 문의하십시오.
저희는 귀하의 웹사이트 보안과 Wordfence 및 기타 보안 전문가들과의 지속적인 협력에 전념하고 있습니다.
WPML에 대한 지속적인 신뢰에 감사드립니다.
WPML 팀