콜드퓨전의 취약점을 이용한 공격이 활발하게 발생하고 있는 것으로 확인돼 이용자들의 주의가 촉구된다.

애플리케이션 개발 플랫폼 콜트퓨전(ColdFusion)의 취약점이 웹사이트를 손상시키는 공격자들의 타깃이 되고 있다고 어도비(Adobe Systems Inc.)가 공지했다.

어도비는 지난 3일(현지 시간) 자사 어도비 제품 보안사건 대응팀(Product Security Incident Response Team, 이하 PSIRT) 블로그를 통해 ‘잠재적인 콜트퓨전 보안 이슈’라는 제목으로 “콜드퓨전 8에 설치된 FCKEditor 리치텍스트 에디터의 취약점을 통해 콜드퓨전 웹사이트들이 손상되었다는 보고를 확인했다”고 전했다.

이 업체의 설명에 따르면 ColdFusion FCKeditor의 리치 텍스트 에디터의 제로데이 취약점으로 웹사이트를 손상시킬 수 있으며 파일을 열람하거나 편집할 수 있다는 것이다. 특히 리치 텍스트 에디터(rich text editor)는 콜드퓨전 8에 인스톨되어있지만 이전 버전들에서도 이용할 수 있어 대부분의 이용자들이 위험에 노출될 수 있다.

어도비는 또한 “이 문제를 해결하기 위한 콜드퓨전 업데이트를 준비 중”이라며 다음 주 중으로 해당 패치를 배포할 예정이라고 덧붙였다.

한편 어도비가 지난 2005년 인수한 애플리케이션 개발 플랫폼 콜드퓨전은 데이터를 수집 및 공유하기위해 리치 폼을 이용하는 많은 웹사이트에서 이용되고 있다. 콜드퓨전은 또한 Ajax 애플리케이션과 프레임워크를 지원하며 PDF 문서와도 통합돼 편리함을 자랑한다.

[김동빈 기자(foreign@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>