한일축제한마당 사이트에 관리자 권한 취약점이 발견됐다. 관리자 권한으로 다양한 실행을 할 수 있어 보안조치가 필요하다.
 
해당 취약점을 발견하고 데일리시큐에 제보한 변인수(Team H4C 소속)군은 “한일축제한마당 관리자 권한 취약점을 발견했다. 해당 취약점은 한일축제한마당의 공지사항 및 게시판을 관리 할 수 있으며, 관리자의 정보를 수정할 수 있다”며 “또한 사이트의 제목도 변경이 가능한 점을 찾아냈다. 사이트측의 신속한 조치가 필요하다”고 제보했다.

 
그는 또 “이번 취약점은 아주 기초적인 SQL Injection 취약점이다. 특정 입력값을 비밀번호란에 입력하면 관리자 아이디로 로그인이 가능해진다”며 “입력값을 검증해주어야 할 것 같다. 즉 입력값들은 Injection을 일으킬 가능성이 있기에 치환해주어야 할 것으로 보인다”고 설명했다.
 
데일리시큐는 해당 취약점을 KISA에 전달해 보안조치가 이루어질 수 있도록 할 예정이다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com