[보안뉴스 호애진] 종합정보보안전문기업 인포섹(대표 신수정)이 국내 PHP기반의 공개 웹 게시판인 익스프레스 엔진에서 XSS(Cross-Site Scripting) 취약점을 발견했다.

발견된 XSS취약점은 악의적인 스크립트가 특정 경로에서 실행 되면서 사용자의 쿠키값 탈취 및 공격자가 만들어 놓은 홈페이지로 유도해 추가적인 악성코드를 실행시킬 수 있다.

영향을 받는 소프트웨어는 익스프레스 엔진 1.5.3.3 및 이전 버전으로 취약한 버전을 사용하고 있을 경우, XSS를 통해 개인 정보 유출 및 좀비PC가 되는 등의 피해를 입을 수 있다

이에 기존 익스프레스 엔진(1.5.3.3 및 이전) 사용자는 긴급 업데이트가 적용된 상위 버전(1.5.3.4)으로 업그레이드 하고, 익스프레스 엔진을 새로 설치하는 사용자의 경우 반드시 보안패치가 적용된 최신버전을 설치해야 한다.

해당 취약점은 패치 권고문이 배포된 상태로 (http://www.xpressengine.com/blog/textyle/21351939) 또는 인터넷침해사고대응센터(http://www.krcert.or.kr/kor/data/secNoticeView.jsp?p_bulletin_writing_sequence=1643)에서 다운로드 가능하며 전화 국번 없이 118을 통해서도 관련 안내를 받을 수 있다.

이번 취약점을 발견한 인포섹 관제사업본부 김정혁, 백종욱 사원은 해당 취약점은 “XE에서 모든 사용자의 입력값에 대한 보안 코드 부재로 인해 나온 오류”라며, “관리자들은 신속히 패치를 다운로드 받고 사용자들은 확인되지 않은 주소링크를 통해 게시판에 직접 접근하지 않도록 주의하는 한편, 익스플로러 옵션의 팝업차단 사용 및 인터넷 옵션의 개인정보 설정을 ‘높음’ 레벨로 조정해 피해를 예방해야 한다”고 강조했다.

[호애진 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>