웹쉘 실행 취약점...웹 관리자의 적극적인 조치가 필요

[보안뉴스 김태형] 국내 PHP기반의 CMS인 익스프레스엔진(XE)에서 웹쉘을 실행시킬 수 있는 LFI 취약점이 발견어 사용자들의 주의가 필요하다.

취약한 버전을 사용하고 있을 경우, 홈페이지 해킹에 의해 홈페이지 변조, 데이터베이스 정보유출 등의 피해를 입을 수 있으므로 웹 관리자의 적극적인 조치가 필요하다.

영향받는 소프트웨어는 익스프레스 엔진 1.7.3.2 및 이전 버전으로 기존 익스프레스 엔진 사용자는 업데이트가 적용된 상위 버전으로 업그레이드해야 하며 패치 작업 이전에 원본 파일 및 DB는 백업이 필요하다.

또한 익스프레스 엔진을 새로 설치하는 이용자는 반드시 보안패치가 적용된 최신버전(1.7.3.3 이상)을 설치해야 안전하다. 이번 취약점은 Krcert 홈페이지를 통해 ‘NewHeart’씨가 제보했다.

참고사이트

-www.xpressengine.com/index.php?mid=download&package_srl=18325662

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>