🚨 Eventin 워드프레스 플러그인 심각한 보안 취약점!

누구나 관리자 권한 탈취 가능, 지금 바로 업데이트하세요

안녕하세요!
오늘은 워드프레스를 사용하시는 분들이라면 꼭 주의 깊게 봐야 할 심각한 플러그인 보안 취약점 소식을 전해드릴게요.
특히 행사/이벤트 관리를 위해 많이 사용되는 Eventin 플러그인에서
관리자 권한을 ‘누구나’ 가로챌 수 있는 초대형 보안 구멍이 발견되어
웹사이트 관리자분들의 신속한 조치가 필요한 상황입니다.

---

📝 Eventin 플러그인이 뭐예요?

Eventin은

• 각종 행사, 세미나, 이벤트 등 워드프레스 기반 홈페이지에서
• 일정·강연자·참석자 관리, 티켓 발권 등
• 다양한 이벤트 운영 기능을 제공하는 인기 플러그인입니다.

공식 통계에 따르면 1만 개 이상의 사이트에서 사용 중이며
국내외 여러 소규모 커뮤니티·기업·학회 등에서도 자주 활용되고 있죠.

---

🔥 발견된 취약점, 얼마나 심각한가요?

📢 요약: 인증 없이 관리자 계정 생성이 가능!

• Eventin 플러그인(4.0.27 이전 버전)에서
  외부인이 아무런 인증 없이 REST API 경로를 통해
  ‘관리자 권한 계정’을 손쉽게 추가할 수 있는 치명적 결함이 발견되었습니다.

👨‍💻 취약점 상세 설명

• 문제의 원인은 /wp-json/eventin/v2/speakers/import API 엔드포인트에서
  권한 확인 함수가 항상 true(허용)로 반환되도록 되어 있었기 때문입니다.
• 즉, 로그인하지 않은 사용자도 아무 제약 없이 해당 API로
  임의의 CSV 파일을 업로드 → 관리자 권한이 포함된 신규 계정 생성 가능!
• 실제 해킹 시나리오
  1. 공격자가 관리자인 척 하는 정보(예: 이름/이메일/비번/role=administrator 등)를 담은 CSV를 준비
  2. API로 업로드
  3. 워드프레스 사이트에 ‘해커 계정’이 ‘관리자’로 자동 생성
  4. 공격자는 해당 계정으로 사이트에 접속, 비밀번호 초기화 등 모든 기능을 마음대로 조작

🧑‍🔧 실제 코드 예시 (문제가 된 부분)

public function import_item_permissions_check( $request ) {
    return true; // 누구나 허용, 인증 없음
}

이처럼 치명적인 허술함(!) 때문에 해커는 단 1번의 요청만으로
웹사이트 전체를 장악할 수 있게 되었습니다.

---

🕳️ 어떤 사이트가 위험한가요?

• Eventin 플러그인 4.0.27 이전 버전을 사용 중인 모든 워드프레스 사이트
• 특히, REST API 접근이 외부에 오픈되어 있는 경우
• “나는 모르고 있었는데 플러그인 자동업데이트도 꺼놨다…”면 즉시 점검 필요

---

🔐 어떻게 조치해야 하나요?

1. 즉시 플러그인 업데이트

• Eventin 최신 버전(4.0.27 이상)으로 무조건 업그레이드하세요!
• 플러그인 메뉴 → Eventin 업데이트 확인 → ‘최신 버전’ 적용

2. 관리자·사용자 계정 전수 점검

• 최근 생성된 관리자 계정/의심 계정이 있는지 반드시 확인
• 불필요한 계정/의심 계정 삭제, 비밀번호 변경

3. 서버 접근 로그 확인

• /wp-json/eventin/v2/speakers/import 경로에 대한
  최근 POST 요청 기록이 있다면, 공격 시도 가능성 의심
• 이상 접근 IP/시간대 집중 점검

4. REST API 접근 제한

• 사이트 운영 목적상 필요 없다면
  REST API를 비활성화하거나
  관리자 이외 접근 불가 설정(플러그인/코드 활용)

5. 정기 보안 점검 및 자동 업데이트 활성화

• Eventin 외에도 타 플러그인/테마도
  자동 업데이트 활성화 권장
• 워드프레스/플러그인 보안 점검 솔루션(Patchstack, Wordfence 등) 도입

---

🛠️ 패치 내역 (개발자 참고)

패치된 4.0.27 버전에서는

• import_item_permissions_check 함수에 실제 권한 확인 로직 추가

public function import_item_permissions_check( $request ) {
    if (!current_user_can('manage_options')) {
        return new WP_Error('rest_forbidden', __('You do not have permission to import users.', 'eventin'), ['status' => 403]);
    }
    return true;
}

• 사용자 임포트시 관리자 등 특정 권한(role)만 허용하는 화이트리스트 구현
• “권한 확인 로직 부재”라는 보안 기본기를 제대로 지키지 않아 생긴 참사,
  개발자 분들은 꼭! 직접 작성한 권한 체크가 실제로 동작하는지 수시로 점검하세요.

---

🚨 실무에서 꼭 기억하세요!

• 권한 검증 없는 API는 즉시 보안 점검!
• 플러그인 보안 취약점은 해커들의 단골 타깃,
  자동/수동 점검체계 필수
• 신규 계정 생성 기록 이상 여부,
  웹사이트 접속/관리 권한 내역 수시 확인
• 문제 발견 시 즉시 비밀번호/이메일/보안코드 등 초기화

---

☑️ 한 줄 요약

Eventin 플러그인 취약점, 지금 바로 최신 버전으로 업데이트하세요!
“나만 괜찮겠지”라는 방심이 사이트 전체를 위험에 빠뜨릴 수 있습니다.