손쉽게 관리자권한 취득 가능...보안조치 시급히 취해야

[보안뉴스 김태형] 최신 익스프레스 엔진(XE) 1.5.1.8에서 XSS(Cross-Site Scripting) 취약점이 발견되어 주의가 요구된다.

보안전문가 박세욱 씨는 “국내에서 게시판으로 널리 사용되고 있는 익스프레스 엔진(XE)의 최신 1.5.1.8(1.4.5.10 포함)에서 XSS 취약점을 발견했다”고 밝혔다.

파일명에 특수문자를 삽입했을 때 html encoding되지 않아 발생하는 문제점을 이용하여 파일명에 정상적이지 않은 문자열을 삽입해 스크립트를 실행할 수 있다.

이를 이용하여 관리자 권한 획득을 위한 자바스크립트를 실행하였을 경우 성공적으로 관리자 권한을 획득 할 수 있다.

아래는 게시 글 작성시 파일명에 관리자 권한 획득을 위한 자바스크립트를 삽입한 경우다. (종료문자를 넣지 않아도 뒤의 > 문자까지 처리가 되기 때문에 문제없이 코드실행이 된다.)

관리자가 해당 게시 글을 읽었을 경우 공격자는 성공적으로 관리자 권한을 획득하게 된다.

해당 보안 패치는 익스프레스 엔진 홈페이지 http://www.xpressengine.com/에서 배포하고 있으니 참고하기 바란다.
[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>