웹페이지 변조, 개인정보 유출 등 피해 유발할 수 있어 주의해야
NHN의 오픈프로젝트로 제공중인 “SmartEditor2.0 Basic”에서 파일 업로드 취약점이 발견됐다. 공격자는 해당 취약점을 악용한 웹셸 업로드를 통해 웹페이지 변조, 개인정보 유출 등 피해를 유발할 수 있으므로 웹 관리자의 주의가 요구된다.영향 받는 소프트웨어는 SmartEditor2.0 Basic (2.3.3) 및 이전버전들이다.
취약점에 의한 피해를 줄이기 위해 웹서버 관리자는 파일 업로드 기능에 서버사이드에서 동작하는 확장자 검증 알고리즘을 삽입하고 웹방화벽을 운용해야 하며 업로드 파일이 저장되는 디렉토리 실행 권한을 제거해야 한다.
SmartEditor2.0 Basic은 네이버 오픈프로젝트로 제공하고 있는 자바스크립트로 구현된 웹 기반의 WYSIWYG 편집기이다.
이번 취약점은 Krcert 홈페이지를 통해 국제정보보안센터(i2Sec)에서 제보한 내용이다.
<참고사이트>
-dev.naver.com/projects/smarteditor/
데일리시큐 길민권 기자 mkgil@dailysecu.com
■ 보안 사건사고 제보 하기
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지
