워드프레스 취약점 주의보: TI WooCommerce Wishlist 플러그인, 악성 파일 업로드 허용
최근 발견된 TI WooCommerce Wishlist 플러그인의 심각한 취약점이 워드프레스 기반 쇼핑몰을 운영하는 사용자들에게 큰 위협이 되고 있습니다. 이 취약점을 악용하면 공격자가 웹사이트를 완전히 장악할 수 있어 즉각적인 주의가 필요합니다.
TI WooCommerce Wishlist 취약점 상세 분석
Patchstack의 보안 연구원들은 TI WooCommerce Wishlist 플러그인에서 임의의 파일 업로드 취약점을 발견했습니다. 이 취약점(CVE-2025-47577)은 인증 없이도 악성 파일을 서버에 업로드할 수 있도록 허용하며, 심각도 점수는 10점 만점의 10점으로 매우 높습니다.
TI WooCommerce Wishlist는 WooCommerce 쇼핑몰에서 위시리스트를 생성하고 관리할 수 있게 해주는 인기 플러그인입니다. 사용자들은 좋아하는 상품을 저장하고 공유할 수 있으며, 다양한 소셜 공유 옵션과 AJAX 기반 기능 등을 제공합니다. 현재 10만 건 이상의 활성 설치 수를 기록하고 있어 잠재적인 공격 대상이 매우 넓습니다.
위험 요소 및 대응 방안
이번 취약점은 특히 전자상거래 사이트에 큰 위험을 초래합니다. 방문객들이 돈을 쓰기 위해 방문하는 곳이므로, 공격 성공 시 금전적인 피해로 이어질 가능성이 높습니다. 현재 최신 버전은 2.9.2이며, 6개월 전에 업데이트되었습니다. 아직 패치가 출시되지 않았으므로, 공격이 우려되는 사용자는 플러그인 수정 버전이 나올 때까지 플러그인을 비활성화하거나 제거하는 것이 좋습니다.
추가적인 위험 요소
이번 취약점은 WC Fields Factory 플러그인이 설치되어 있고, TI WooCommerce Wishlist 플러그인과의 연동이 활성화된 경우에만 악용될 수 있다는 점이 그나마 다행입니다. WC Fields Factory는 제품 페이지, 결제 양식 등에 사용자 정의 필드를 추가할 수 있게 해주는 플러그인입니다. 다양한 필드 유형을 지원하고 동적 가격 조정, 가시성 규칙 등을 설정할 수 있습니다.
보안을 위한 추가 조치
워드프레스 사이트의 보안을 강화하기 위해 다음과 같은 조치를 취하는 것이 좋습니다.
-
사용하지 않는 플러그인 및 테마 삭제
-
정기적인 비밀번호 변경 및 강력한 비밀번호 사용
-
워드프레스 코어, 플러그인, 테마 최신 버전 유지
-
보안 플러그인 설치 및 활성화
-
정기적인 백업 수행
결론
TI WooCommerce Wishlist 플러그인의 취약점은 워드프레스 사용자들에게 심각한 위협이 될 수 있습니다. 패치가 출시될 때까지 플러그인을 비활성화하고, 워드프레스 보안 강화를 위한 조치를 취하여 안전하게 웹사이트를 운영하시기 바랍니다.
