전세계적으로 10만여 개 이상 사이트에서 사용하는 기부 및 모금 플랫폼 구축을 목적으로 사용하는 WordPress 플러그인 GiveWP에서 PHP Object Injection 취약점이 발생했으며 CVE-2024-5932로 명명됐습니다.
GiveWP 3.14.1 이하 버전이 영향을 받으며, 공격자는 POP Chain 기법을 활용해 임의 코드를 실행하는데요. 파라미터에 대한 입력값 검증의 부재로 악의적인 직렬화 데이터에 대한 역직렬화를 통해 발생합니다. 해당 취약점은 8월 7일 패치되었으며, WordPress 플러그인 업데이트를 수행하여 조치 가능합니다.
SK쉴더스 화이트해커 그룹 EQST의 최신 보안 인사이트가 담긴 EQST insight 전문이 궁금하다면?
‘더 알아보기’를 클릭해 보세요!
👉 더 알아보기: https://www.skshieldus.com/kor/eqstinsight/cve2409.html
◾ EQST(이큐스트)는 ‘Experts, Qualified Security Team’ 이라는 뜻으로 사이버 위협 분석 및 연구 분야에서 검증된 최고 수준의 보안 전문가 그룹입니다.