오픈 소스 보드인 워드프레스에서 플러그인의 한 종류인 ‘My Calendar 2.4.18’에서 XSS(크로스사이트스크립팅) 취약점 및 취약한 인증 및 세션 관리 취약점이 발견됐다.
 
해당 취약점을 데일리시큐에 제보한 국제정보보안교육센터(i2sec) 31기 수강생 박근휘 씨는 “Add New Event페이지, Add Category 페이지, Add New Location 페이지에서 XSS 취약점이 존재하며, Add New Event페이지에서 전달되는 request 값 중에 event_author부분 등을 이용해 타인이 작성해 놓은 글을 수정 가능하며 또한 타인의 권한으로 글 등록이 가능한 취약한 인증 및 세션 관리 취약점이 발견되었다”고 설명했다.

 
한편 “이번 취약점의 경우 XSS 취약점이 있는 페이지마다 html encoding 적용하되 화이트리스트방식으로 안전이 검증된 태그만을 허용하고 공격성이 짙은 해당 태그를 필터링해야 한다. 그리고 취약한 인증 및 세션 관리 취약점은 경우 소스보기를 통해 사용자가 검증하는 부분의 값을 볼 수 있다. 로그인할 때 마다 새롭게 생성되어 검증되는 값들이 소스보기를 통해 다 볼 수 있도록 취약하게 설정되어 있으므로 각 부분마다 권한 검증하는 구문이 노출 되지 않도록 적용해야 한다”고 조언했다.
 
현재 취약점의 경우 패치가 완료된 상태이다. 사용자들은 신속한 패치 적용을 해야 안전할 수 있다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com