[2025년 1월 취약점 보고서] WordPress CleanTalk Plugin Authentication Bypass Vulnerability (CVE-2024-10542, CVE-2024-10781) | Cloud-Based Platform AIONCLOUD

Threat Intelligence Report

Get up-to-date information on web application vulnerabilities, attacks, and how to respond.

Threat Intelligence Report 메인페이지로 돌아가기

[2025년 1월 취약점 보고서] WordPress CleanTalk Plugin Authentication Bypass Vulnerability (CVE-2024-10542, CVE-2024-10781)

현재 워드프레스 클린톡 플러그인에는 CVE-2024-10542 및 CVE-2024-10781로 확인된 심각한 인증 우회 취약점이 있으며, 이를 통해 인증되지 않은 공격자가 보안 조치를 우회하여 정상적인 인증이 필요한 작업을 수행할 수 있습니다. 특히, 공격자가 보안이 취약한 사이트에 임의의 플러그인을 설치 및 활성화하여 원격 코드 실행 및 기타 악성 행위로 이어질 수 있으므로 서비스를 이용하는 고객과 기업은 가능한 한 빨리 최신 버전으로 업데이트해야 합니다.

워드프레스 클린톡과 같은 서비스를 이용하여 발생하는 취약점을 지속적으로 모니터링하고 있으며, 향후 발견되는 관련 취약점에 대해서는 신속히 대응할 예정입니다.

1. 개요

CleanTalk는 WordPress에서 사용되는 스팸 방지 및 보안 플러그인으로, 클라우드 기반의 서비스입니다. 주로 스팸 댓글과 불법 등록 시도를 차단하는 데 사용되는 서비스로 해당 서비스에서 발생한 인증 우회 취약점인 CVE-2024-10542, CVE-2024-10781에 대해 분석한 내용을 정리하였습니다.

image.png

출처 : https://cyberinsider.com/flaws-in-cleantalk-anti-spam-plugin-affect-over-200000-wordpress-sites/

2. 공격 유형

CVE-2024-10542는 WordPress CleanTalk 플러그인에서 발생하는 DNS 스푸핑을 통한 인증 우회 취약점으로, 6.43.2이전 모든 버전에서 checkWithouthToken 함수의 역방향 DNS 스푸핑을 통한 권한 우회로 인해 허가되지 않은 임의 플러그인을 설치하여 이를 통해 인증되지 않은 공격자가 임의의 플러그인을 설치하고 활성화할 수 있으며, 이를 활용하여 원격 코드 실행을 달성할 수 있는 공격입니다.

image.png

ex) 공격 구문

GET /?spbc_remote_call_action=<플러그인 이름>&plugin_name=antispam&ip=cleantalk.org

CVE-2024-10781은 WordPress CleanTalk 플러그인에서 발생하는 api_key 값 검증 누락으로 인해 발생하는 인증 우회 취약점으로, 6.44이전 모든 버전에서 perform 함수의 api_key 값에 대한 빈 값 확인이 누락되어 허가되지 않은 임의 플러그인을 설치하여 이를 통해 인증되지 않은 공격자가 임의의 플러그인을 설치하고 활성화할 수 있으며, 이를 활용하여 원격 코드 실행을 달성할 수 있는 공격입니다.

image.png

ex) 공격 구문

GET /?spbc_remote_call_token=hashed_token_value&action=some_action

3. 대응

CVE-2024-10542는 Spam protection, Anti-Spam, FireWall by CleanTalk 6.44 패치를 통해 대응 되었으며, CVE-2024-10781은 Spam protection, Anti-Spam, FireWall by CleanTalk 6.45 패치를 통해 대응 되었습니다.

해당 취약점의 경우 spbc_remote_call(action|token)의 요청 값을 이용한 공격 방식으로 보여져, 저희 AIWAF 제품에서는 추가 분석을 진행하여 패턴으로 대응할 예정입니다.

4. 결론

WordPress CleanTalk 플러그인은 현재 CVE-2024-10542 및 CVE-2024-10781로 식별되는 심각한 인증 우회 취약점으로, 이러한 취약점으로 인해 인증되지 않은 공격자가 보안 조치를 우회하고 일반적으로 유효한 인증이 필요한 작업을 수행할 수 있습니다. 특히 공격자는 취약한 사이트에 임의의 플러그인을 설치하고 활성화하여 잠재적으로 원격 코드 실행 및 기타 악의적인 활동으로 이어질 수 있으므로 해당 서비스를 이용하는 고객 및 기업은 빠르게 최신 버전으로 업데이트가 필요합니다.

저희 AIWAF 제품에서는 WordPress CleanTalk과 같이 서비스를 이용하여 발생하는 취약점들에 대해 지속적으로 모니터링하고 있으며, 앞으로도 발견되는 관련 취약점들에 대해서도 신속하게 대응할 예정입니다.

5. 참조

Copyright 2025 AIONCLOUD's All Right Reserved| 개인정보 처리 방침| 이용약관| Cookie Settings
Scroll Up