2024-03-28 17:50 (목)
보부상 테마 워드프레스용 2개 플러그인에 XSS 취약점
상태바
보부상 테마 워드프레스용 2개 플러그인에 XSS 취약점
  • 길민권
  • 승인 2016.05.20 16:56
이 기사를 공유합니다

“필요하지 않다면 HTML 포멧 사용금지 해야”
보부상 테마(BBS e-Theme)의 워드프레스용 플러그인 BBS e-Board Free (1.2.9 ver)과 BBS e-Franchise(1.0.0 ver)에서 XSS 취약점이 발견됐다.

 
해당 취약점을 데일리시큐에 제보한 국제정보보안교육센터(i2sec) 31기 수강생 이현수 씨는 “두 플러그인에서 XSS 취약점이 발견되었으며 BBS e-Board Free (1.2.9 ver) 플러그인에서는 일반 사용자들이 악의적으로 글 제목에 악성 스크립트를 넣어서 다른 사용자나 관리자 계정의 세션 탈취를 할 경우와 관리자가 악의적으로 카테고리에 악성 스크립트를 작성한 경우나 아니면 관리자 계정이 해킹 당해 카테고리에 악성 스크립트가 작성될 경우 취약점이 발생할 수 있으며, 다른 플러그인 BBS e-Franchise(1.0.0 ver)에서는 관리자만이 등록 가능하기에 관리자가 악의적으로 악성 스크립트를 작성한 경우나 관리자 계정이 해킹 당해 악성 스크립트가 작성될 경우도 XSS 취약점이 발생했다”고 설명했다.
 
국제정보보안교육센터 측은 ”이번 취약점의 각 항목들의 특정 문자열 필터링, 글쓰기의 경우, HTML 포멧 사용제한, 카테고리의 경우, 필요하지 않다면 HTML 포멧 사용금지를 해야 한다”고 전했다.
 
해당 취약점은 현재 사이트의 담당자에게 전달되었으며 보안 패치가 이루어질 예정이다. 패치가 나오면 사용자들은 신속히 업데이트해야 안전할 수 있다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★