Wins blog

글로벌 정보보안 파트너! Global Security No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
취약점 정보워드프레스 플러그인 Smart Google Code Inserter XSS 취약점
작성일 2018-01-09 조회 1379

 

 

 

CVE-2017-3810에 할당된 WordPress 플러그인 취약점이 발표되었습니다. 해당 취약점은 특정 플러그인(Smart Google Code Inserter)를 사용할 경우에만 취약점이 존재합니다.

 

<그림 1>에 보이는 Google Analytics를 통해 설정된 값은 smartgooglecode.php의 smartGoogleCode()함수를 통해 전달되는데 여기에서 전달되는 값을 검증하지 않아 취약점이 발생하게 됩니다.

 

<그림 1 - Smart Google Code Inserter 플러그인 설정 화면>

 

CVSSv3 : 5.3
https://www.first.org/cvss/calculator/3.0#CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N

 

해결방안

1.해당벤더사의 권고사항을 참조하여 최신버전으로 업데이트한다.
https://ko.wordpress.org/plugins/smart-google-code-inserter/#description

 

2.Sniper IPS에서는 아래패턴으로 대응이 가능하다.

[xxxx] WordPress Smart Google Code Inserter savegooglecode XSS (1월 12일 정규 릴리즈 예정)

 

 

참조

https://cxsecurity.com/issue/WLB-2018010020
첨부파일 첨부파일이 없습니다.
태그 CVE-2018-3810  WordPress  XSS