웹쉘 생성 및 관리자 권한 탈취가능한 CSRF 취약점...보안 패치 필요

[보안뉴스 김태형] 국내 PHP기반의 CMS(Contents Management System)인 킴스큐에서 웹쉘 생성 및 관리자 권한을 탈취할 수 있는 CSRF 취약점이 발견되어 사용자들의 주의가 필요하다.

CMS는 웹사이트를 구성하고 있는 다양한 콘텐츠를 효율적으로 관리할 수 있도록 도와주는 시스템이다. 취약한 버전을 사용하고 있을 경우, 해킹에 의한 홈페이지 변조, 관리자 권한탈취, 개인정보 유출 등의 피해를 입을 수 있으므로 웹 관리자의 적극적인 조치가 필요하다.

이 취약점에 영향받는 소프트웨어는 킴스큐 1.2.1 AR12061201 및 이전 버전으로 기존 킴스큐 사용자는 SE05021301 보안패치를 적용하면 문제를 해결할 수 있다.

PHP는 동적인 웹사이트를 위한 서버 측 스크립트 언어를 말하며 CSRF(Cross-Site Request Forgery)는 사용자가 자신의 의지와는 무관하게 공격자 의도한 행위(수정, 삭제, 등록 등)를 요청하게 하는 공격을 말한다. 보다 자세한 내용은 홈페이지(www.kimsq.com/r/update/11020)를 참고하면 된다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>