국내 PHP기반의 공개 웹 게시판인 익스프레스엔진에서 XSS, 웹쉘코드 삽입 취약점이 발견됐다. 취약한 버전을 사용하고 있을 경우, 악의적인 스크립트를 이용해 관리자 권한탈취, 피싱사이트 유도, 악성코드 경유지/유포지 사이트 유도 등의 피해를 입을 수 있다. 또한 홈페이지 해킹에 의해 웹서버 원격제어, 홈페이지 변조, 데이터베이스 정보 유출 등의 피해를 입을 수 있으므로 웹 관리자의 적극적인 조치가 필요하다.


이번 취약점을 발견한 SK인포섹(대표 신수정 www.skinfosec.com) 관제사업본부 장경칩 차장은 해당 취약점은 “제로보드XE에서 모든 사용자 입력값에 대한 보안 코드의 부재로 인해 나온 오류”로 사용자들에게 "신속히 패치를 다운로드 받고 가능한 관리자 페이지가 외부로 노출 되지 않도록 주의 해야 한다”고 당부했다.
 
영향받는 소프트웨어는 익스프레스 엔진1.5.3.1(1.4.5.10포함) 및 이전 버전들이다.
 
취약점 해결방안으로는 기존 익스프레스 엔진 사용자는 업데이트가 적용된 상위 버전으로 업그레이드해야 한다. 또한 패치 작업 이전에 반드시 데이타베이스 및 원본 소스코드파일은 백업을 해 둬야 한다. 그리고 익스프레스 엔진을 새로 설치하는 이용자는 반드시 보안패치가 적용된 최신버전(1.5.3.2 beta)을 설치하도록 해야 안전하다.
 
<참고사이트>
-code.google.com/p/xe-core/wiki
-www.xpressengine.com/index.php
 
데일리시큐 길민권 기자 mkgil@dailysecu.com