20,000개 이상의 WordPress 사이트에 설치된 플러그인에서 크로스 사이트 스크립트 취약점이 발견되었다. 이는 WP HTML Mail 플러그인의 취약점으로, WP HTML Mail WordPress 이메일 템플릿 디자이너 플러그인이다.
해당 취약점은 CVE-2022-0218로 지정되었으며, 이 취약점을 사용하면 REST-API 끝점을 실행하여 이메일의 테마 설정에 접근이 가능하다. 인증되지 않은 사용자가 액세스 권한을 획득하여 이메일 템플릿을 쉽게 변경할 수 있고, HTML 메일 편집기에 자바 스크립트 등을 삽입할 수 있다.
사진 출처: Wordfence
출처
[1] Wordfence (2022.01.25) - Unauthenticated XSS Vulnerability Patched in HTML Email Template Designer Plugin
https://www.wordfence.com/blog/2022/01/unauthenticated-xss-vulnerability-patched-in-html-email-template-designer-plugin/
'최신 보안 동향' 카테고리의 다른 글
| FBI가 QR코드를 활용한 범죄를 경고 (0) | 2022.01.26 |
|---|---|
| Rust 프로그래밍 언어에서 권한 상승 취약점 발견 (0) | 2022.01.26 |
| 악성코드 유포에 사용되는 PowerPoint 문서 발견 (0) | 2022.01.25 |
| 정보를 탈취하는 BHUNT 악성코드 발견 (0) | 2022.01.25 |
| AvosLocker 랜섬웨어 리눅스 변종 발견 (0) | 2022.01.25 |