CSRF 공격, 악성코드 배포, 피싱 등 악용 될 수 있어 주의!
콘텐츠 관리 시스템(CMS)으로 알려져 있는 NHN(대표 김상헌)의 제로보드 XE(XpressEngine)에서 XSS 취약점이 발견되었다. XSS 공격에 노출 될 경우 2차적으로 CSRF 공격, 악성코드 배포, 피싱 등으로 악용 될 수 있기 때문에 사용자들의 주의가 요구된다.해당 취약점을 찾아낸 부산 국제정보보안교육센터(i2sec) 교육생 강우석씨는 해당 취약점에 대한 보고서를 XE측에 전달했다고 밝혔다.
밝혀진 취약점에 대한 자세한 항목은 다음과 같다.
<스크립트 삽입의 예>
XE 게시물에서 태그명 내에 내장되는 “/” 특수문자가 공백으로 치환하는 특성을 나타냈으며 다음과 같이 삽입 할 경우 필터링 정책을 우회할 수 있는 것으로 나타났다.
<스크립트 동작>
<필터링 소스수정>
이에 따라 XE에서 필터링 기능을 제공하고 있는 해당 preg_replace 함수의 검사 인자에 “/”와 이외 문자들에 대해 필터링을 검사할 수 있도록 정규식을 수정 조치했다.
강우석씨는 “XSS 공격은 응용에 따라 다양한 패턴으로 공격이 만들어지기 때문에 사용자들은 지속적으로 보안패치를 유지해 이에 대비할 필요가 있다”고 강조했다.
현재 XE측은 취약한 1.5.2.5버전에 대한 보안 방안을 전달 받은 뒤 보안 패치를 수행해 1.5.2.6을 배포 중이다. 이용자들은 보안을 위해 최신 버전으로 업그레이드 해야 한다.
-패치 정보: www.xpressengine.com/blog/20905954
데일리시큐 길민권 기자 mkgil@dailysecu.com
■ 보안 사건사고 제보 하기
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지
