시스템권한 장악해 원격에서 해당 서버 마음대로 조작 가능
전세계적으로 많이 사용되는 CMS(Content Management System)로 알려져 있는 WordPress의 Plugin 중 한글화 게시판인 “MH Board”에서 파일업로드 취약점이 발견되었다.해당 취약점을 발견하고 데일리시큐에 제보한 I2SEC(국제정보보안 교육센터) 13기 수강생 이상준씨는 “파일업로드 공격은 시스템권한을 모두 장악해 원격에서 해당 서버를 마음대로 조작할 수 있는 매우 위험한 공격”이라며 “사용자들의 최신 버전 패치가 요구된다”고 주의를 당부했다.
I2SEC 측은 “이번 취약점은 업로드하는 확장자(html)를 필터링하지 않아 파일업로드 공격이 가능하게 되는 것”이라고 밝혔으며 “이에 대한 보안 대책으로 개발사는 업로드하는 파일의 확장자를 필터링하는 보안 코드를 추가할 필요가 있다. 또한 해당 플러그인을 사용하는 관리자는 최신 버전으로 패치를 해야 한다”고 권고했다.
해당 취약점의 패치는 wordpress.org/extend/plugins/mh-board에서 가능하다.
데일리시큐 길민권 기자 mkgil@dailysecu.com
■ 보안 사건사고 제보 하기
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지