개요
WordPress Umbrella: Update Backup Restore & Monitoring, WPForms 플러그인에서 발생하는 취약점을 해결하는 보안 업데이트를 발표하였습니다. 해당하는 제품 사용자는 최신 버전으로 업데이트 하시기 바랍니다.
대상 제품
CVE-2024-12209
- WP Umbrella: Update Backup Restore & Monitoring 버전: ~ 2.17.0(포함)
CVE-2024-11205
- WPForms 버전: 1.8.4(포함) ~ 1.9.2.1(포함)
해결된 취약점
‘umbrella-restore’ 작업의 ‘filename’ 매개변수를 통해 로컬 파일 포함에 취약하여 공격자가 서버에서 임의의 파일을 포함 및 실행할 수 있는 취약점(CVE-2024-12209)
‘wpforms_is_admin_page’ 함수에 대한 기능 확인이 누락되어 무단으로 데이터를 수정할 수 있는 취약점(CVE-2024-11205)
취약점 패치
최신 업데이트를 통해 취약점 패치가 제공되었습니다. 참고 사이트의 안내에 따라 최신 취약점 패치 버전으로 업데이트 하시기 바랍니다.
CVE-2024-12209
- WP Umbrella: Update Backup Restore & Monitoring 버전: 2.17.1
CVE-2024-11205
- WPForms 버전: 1.9.2.2
참고사이트
[1] CVE-2024-12209 Detail
https://nvd.nist.gov/vuln/detail/CVE-2024-12209
[2] WP Umbrella: Update Backup Restore & Monitoring <= 2.17.0 – Unauthenticated Local File Inclusion
[3] CVE-2024-11205 Detail
https://nvd.nist.gov/vuln/detail/CVE-2024-11205
[4] WPForms 1.8.4 – 1.9.2.1 – Missing Authorization to Authenticated (Subscriber+) Payment Refund and Subscription Cancellation