미국 정부 NVD(National Vulnerability Database)는 민감한 정보를 유출할 수 있는 Metform Elementor Contact Form Builder WordPress 플러그인에 영향을 미치는 취약점에 대한 주의보를 발표했습니다.
WordPress용 Metform Elementor 문의 양식 빌더
Metform Elementor 문의 양식 빌더는 200,000개 이상 설치되어 있는 인기 있는 Elementor 페이지 빌더 플러그인의 제3자 추가 기능입니다.
다단계 양식을 포함하여 연락처 양식을 쉽게 작성할 수 있는 드래그 앤 드롭 인터페이스를 제공합니다.
Elementor용 Metform 문의 양식 작성기 WordPress 플러그인을 사용하면 코딩 기술이 없는 초보자도 설문 조사 양식, 문의 양식, 추천 피드백 양식을 만들 수 있으며 사용자가 인터넷 연결이 끊겼다가 다시 연결될 경우 양식으로 돌아갈 수 있도록 양식을 저장할 수도 있습니다.
공식 WordPress 플러그인 저장소에 따르면:
“드래그 앤 드롭 WordPress 문의 양식 작성 도구인 MetForm은 Elementor용 애드온으로, 드래그 앤 드롭 유연성을 통해 빠르고 안전한 문의 양식을 즉시 구축할 수 있습니다.
여러 문의 양식을 관리할 수 있으며 Elementor 빌더를 사용하여 다단계 양식을 사용자 정의할 수 있습니다.”
정보 공개 취약점
이 취약점으로 인해 공격자는 중요한 정보를 얻을 수 있습니다.
구독자 수준 사용자 역할은 관리자 또는 편집자 수준 사용자 역할보다 획득하기 쉽기 때문에 악용 활성화에 대한 기준이 상대적으로 낮습니다.
공격자가 공격을 시작하려면 웹 사이트에 가입하기만 하면 됩니다.
Elementor의 웹사이트에서는 구독자 사용자 역할을 설명합니다 .
“WordPress 가입자는 자신의 프로필을 편집하고, 게시물을 읽고, 댓글을 남길 수 있는 사이트 사용자입니다.
WordPress에서는 ‘역할’이라는 개념을 사용하여 사이트 소유자가 사용자가 사이트 내에서 수행할 수 있는 작업(기능) 세트를 제어하고 관리할 수 있습니다.
구독자는 가장 적은 권한을 가진 가장 낮은 수준의 사용자 역할입니다.
따라서 공격자는 가장 낮은 수준의 사용자 역할로 사이트 해킹을 시작할 수 있습니다.
NVD는 위협에 대해 다음과 같이 설명합니다 .
“WordPress용 Metform Elementor 문의 양식 빌더는 3.3.1 이하 버전에서 ‘mf_first_name’ 단축 코드를 통한 정보 공개에 취약합니다.
이를 통해 가입자 수준 이상의 기능을 갖춘 인증된 공격자가 제출자의 이름을 포함하여 임의 양식 제출에 대한 민감한 정보를 얻을 수 있습니다.”
공격 위협을 완화하기 위해 플러그인 업데이트
이 취약점은 Metform Elementor Contact Form Builder 플러그인 버전 3.3.1 이하에 영향을 미칩니다.
플러그인의 최신 버전은 3.4.0입니다.
Metform Elementor Contact Form Builder 버전 3.3.2는 취약점을 수정한 버전입니다.