회원아이콘 업로드 취약점과 비밀번호 확인 부분 우회 취약점 주의
국산 홈페이지용 전자 게시판, 소프트웨어인 그누보드4에서 회원아이콘 업로드 취약점이 발견됐다. 개인정보 수정 페이지에서 비밀번호를 한번 더 확인하는 부분을 우회할 수 있는 취약점이다. 해당 취약점은 14일 패치가 완료됐지만 이용자들의 패치 적용이 관건이다.해당 취약점을 데일리시큐에 리포트한 오지훈(TeamWeb) 군은 “그누보드4 회원아이콘 업로드 취약점은 원래는 회원가입시 아이디에는 _를 제외한 특수문자를 넣을 수 없으나 자바스크립트로만 입력값을 체크해서 발생한 취약점”이라며 “다른 경로에도 회원 아이콘을 업로드가 가능하며 서버에 존재하는 .gif 파일은 모두 수정이나 삭제가 가능하게 된다”고 설명했다.
또 “개인정보 수정 페이지에서 비밀번호를 한번 더 확인하는 부분을 우회할 수 있는 문제점도 발견했다”며 “개인정보 수정 페이지에서 암호가 입력되어야만 암호가 맞는지 확인하게 되는데. 코딩 실수로 발생한 취약점으로 생각된다”고 밝혔다.
회원아이콘 업로드 취약점은 사이트 레이아웃에 들어간 gif 파일을 수정하거나 삭제해 사이트 운영 방해할 수 있으며 개인정보 수정 페이지에서 비밀번호를 한번 더 확인하는 부분을 우회할 수 있는 문제점으로는 XSS로 로그인한 사용자의 개인정보 탈취, 비밀번호 탈취 또는 비밀번호 변경으로 사이트의 운영을 방해할 수 있다“고 주의를 당부했다.
오 군은 해당 취약점을 그누보드 측에 통보해 현재 패치가 이루어진 상태다. 이용자들의 적극적인 패치 적용이 중요하다.
데일리시큐 길민권 기자 mkgil@dailysecu.com
■ 보안 사건사고 제보 하기
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지