티스토리 뷰

Information Security/CVE

CVE-2024-2876 WordPress Icegram Express 플러그인의 SQL Injection 취약점

실더 2024. 5. 10. 18:00

오늘의 신규 보안 취약점 맛보기는

 WordPress Icegram Express 플러그인의 SQL Injection 취약점 입니다.

 

 

WordPress의 Icegram Express 플러그인은 

자동화 이메일 마케팅 기능을 제공하는 플러그인입니다.

 

CVE 제품/서비스 명 취약버전 양호버전
CVE-2024-2876 Icegram Express플러그인 5.7.14 이하 5.7.15 이상

 

위험도는 SQL Injection 답게 CVSS 9.8 Critical 등급입니다.

 

해당 취약점은 IG_ES_Subscribers_Query 클래스의 run 기능에서

사용자 매개변수에 대한 검증이 부족하여 SQL 쿼리의 실행이 가능합니다.[3][4]

 

수정된 부분은 아래와 같으며[5], 값에 대한 필터가 추가되었음을 알 수 있습니다.

출처: Plugin Directroy

 

위험도가 높은 취약점이니 WordPress에서 해당 플러그인을 사용하시는 분들께서는

업데이트를 진행하여 주시기를 안내 드립니다.

 

 

[참고사이트]

[1]  https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/email-subscribers/icegram-express-email-subscribers-newsletters-and-marketing-automation-plugin-5714-unauthenticated-sql-injection

[2] https://wordpress.org/plugins/email-subscribers/

[3] https://github.com/WordpressPluginDirectory/email-subscribers/blob/main/email-subscribers/lite/admin/class-email-subscribers-admin.php#L1433

[4] https://github.com/WordpressPluginDirectory/email-subscribers/blob/main/email-subscribers/lite/includes/classes/class-ig-es-subscriber-query.php#L304

[5] https://plugins.trac.wordpress.org/changeset/3060251/email-subscribers/trunk/lite/includes/classes/class-ig-es-subscriber-query.php

저작자표시 비영리 변경금지

'Information Security > CVE' 카테고리의 다른 글

CVE-2024-34456 Antivirus One의 Code Injection 취약점  (0) 2024.05.13
CVE-2024-31497 Citrix의 XenCenter(Putty) 관리자 SSH 개인키 탈취 취약점  (0) 2024.05.11
CVE-2023-40000 WordPress LiteSpeed Cache 플러그인의 XSS 취약점  (0) 2024.05.10
CVE-2024-27956 WordPress Automatic 플러그인의 SQL Injection 취약점  (2) 2024.05.07
CVE-2023-1389 Tp-Link의 Archer AX21 RCE 취약점  (0) 2024.05.06