워드프레스 뉴스페이퍼 테마 기여자 권한으로 실행 가능한 tagDiv Composer XSS 취약점 주의

워드프레스 인기 테마 중 하나인 뉴스페이퍼(Newspaper) 테마의 tagDiv Composer 플러그인(버전 5.4.1 이하)에서 "Authenticated (Contributor+) Stored Cross-Site Scripting (XSS)" 보안 취약점이 발견되었습니다. 뉴스페이퍼 테마를 사용하는 경우 최신 버전으로 업데이트하시기 바랍니다. 

워드프레스 뉴스페이퍼 테마 기여자 권한으로 실행 가능한 tagDiv Composer 플러그인 XSS 취약점 주의

뉴스페이퍼 테마는 블로그, 뉴스, 웹진, 매거진 사이트 운영 시에 사용할 수 있는 인기 워드프레스 테마 중 하나입니다. 현재 Themeforest 마켓에서 주간 베스트셀링 테마 10위에 랭크되어 있습니다.

뉴스페이퍼를 사용하면 초보자도 고퀄리티의 뉴스, 블로그 사이트를 쉽게 만들 수 있다는 장점이 있습니다. 페이지 빌더 때문에 사용은 편리하지만 사이트 속도가 느려질 수 있는 단점이 있습니다. 블로그를 운영하는 경우 대안으로 가볍고 속도가 빠른 GeneratePress 테마가 많이 사용됩니다.

뉴스페이퍼 테마의 tagDiv Composer 5.4.1 버전 이하에서 "Authenticated (Contributor+) Stored Cross-Site Scripting (XSS)"  보안 취약점이 발견되어 5.4.2 버전에서 패치되었습니다.

Newspaper는 몇 년 전에도 보안 취약점 때문에 많은 사이트가 멀웨어(악성코드)에 감염된 적이 있습니다. 이 테마를 사용 중이라면 항상 최신 버전으로 업데이트하여 최신 상태로 유지할 것을 권장합니다.

Wordfence 보안 플러그인이 설치되어 있으면 업데이트가 안 된 플러그인이 있거나, 보안 취약점이 발견된 테마나 플러그인이 설치되어 있다면 보안 경고 메일로 위험성에 대하여 경고해 줍니다.

뉴스페이퍼 테마에서 발견된 XSS 보안 취약점은 기여자(Contributor) 이상 권한을 가진 인증된 사용자가 악의적인 스크립트를  삽입할 수 있는 문제이며, 이 취약점은 여러 숏코드(shortcodes)의 사용자 입력 속성에서 적절한 입력 검증과 출력 이스케이핑이 부족해서 발생합니다.

취약점 의미

• Authenticated (Contributor+): 이 취약점은 인증된 사용자인 기여자(외부 필진) 권한 이상인 사용자만 악용할 수 있다는 의미로, 완전한 관리자 권한자만 가능한 것은 아닙니다.
• Stored Cross-Site Scripting (Stored XSS): 악성 스크립트가 웹사이트 내에 영구 저장되어, 사이트 방문자가 해당 페이지를 볼 때마다 스크립트가 실행되어 쿠키 탈취, 세션 하이재킹, 피싱 등의 공격이 가능해집니다.

취약점 상세 내용

• tagDiv Composer 플러그인의 여러 숏코드가 사용자 입력을 충분히 검증하지 않아 악성 자바스크립트(JavaScript) 코드를 삽입할 수 있는 취약점이 존재합니다.
• 공격자는 기여자 이상의 인증된 권한으로 숏코드를 사용하여 임의의 악성 스크립트를 작성하고, 이 스크립트가 페이지에 저장되어 방문자에게 전달됩니다.
• 이로 인해 방문자의 웹 브라우저에서 악성 코드를 실행하여 개인 정보 탈취나 세션 탈취 등의 피해가 발생할 수 있습니다.
• CVSS v3.1 기준 중등도 수준(Medium) 위험도(6.4점)로 평가되었습니다.

대응 및 권고 사항

• 이 취약점은 tagDiv Composer 5.4.2 버전(2025년 10월 26일자 기준으로 최신 버전)에서 패치되었습니다.
• 취약점에 영향을 받는 버전을 사용 중이라면 즉시 최신 버전으로 업데이트할 것을 권장합니다.
• 기여자(외부 필진) 이상 권한 계정을 신뢰할 수 있는 사용자만 부여하고, 사이트 보안 정책을 강화하는 것이 좋습니다.

요약하면, 이 취약점은 인증된 기여자 권한 이상 사용자가 악성 스크립트를 숏코드 형태로 삽입해 방문자에게 실행시키는 저장형 크로스사이트스크립팅 문제로, 최신 버전으로 패치해야 하며 권한 부여에 주의해야 합니다.

뉴스페이퍼 테마를 사용하고 있다면 Newspaper » Updates에서 최신 업데이트를 확인하여 업데이트를 설치할 수 있습니다.

Install update 버튼을 누르면 테마와 관련 플러그인이 자동으로 업데이트됩니다.

보안상 항상 최신 버전으로 유지하는 것이 바람직합니다. 현재 뉴스페이퍼 최신 버전은 12.7.3이고 tagDiv Composer의 최신 버전은 5.4.2입니다.

멀티사이트로 구성한 경우, 기본 사이트가 아닌 하위 블로그에 뉴스페이퍼가 설치되어 있다면 테마 설치 파일을 다운로드하여 워드프레스에 업로드하여 업데이트해야 할 수 있습니다.

테마 설치 후에 tagDiv Composer 등 번들 플러그인은 플러그인 섹션에서 개별적으로 업데이트해야 합니다.

마치며

워드프레스는 보안에 강한 편이지만, 업데이트를 소홀히 하면 보안에 구멍이 생겨 보안 문제가 발생할 수 있습니다.

뉴스페이퍼 테마는 몇 년 전 보안 취약점이 존재했지만 제대로 고지하지 않아서 많은 사이트들이 피해를 본 적이 있습니다. 뉴스페이퍼 테마를 사용한다면 (뉴스페이퍼 테마뿐만 아니라 다른 테마도 마찬가지지) 항상 최신 버전으로 업데이트하여 최신 상태를 유지할 것을 권장합니다.

만약 사이트가 멀웨어에 감염되었다면 백업본을 사용하여 롤백(복원)을 시도해 볼 수 있습니다.

• 카페24는 지난 7일 이내의 기간으로 롤백이 가능합니다.
• 클라우드웨이즈는 백업 설정에 따라 최대 4주 이내의 기간으로 복원이 가능할 수 있습니다.
• 케미클라우드는 웹호스팅 상품에 따라 10일 ~ 30일 이내의 기간으로 사이트를 복구할 수 있습니다.

👉 멀웨어 감염이나 해킹을 비롯하여 워드프레스 또는 웹호스팅 문제로 해결에 어려움을 겪는 경우 여기에서 서비스(유료)를 의뢰하실 수 있습니다.

참고

https://avada.tistory.com/3046

해외웹호스팅: 클라우드웨이즈 vs. 블루호스트 vs. 카페24 비교 (Cloudways vs. Bluehost vs. Cafe24)

https://avada.tistory.com/3667

카페24 워드프레스 멀웨어 치료 작업