[보안뉴스 김지언] 태그프리 사의 웹에디터 제품인 ‘액티브디자이너’가 파일 업로드 취약점에 대한 기본검증 기능을 제공하지 않아 사용자들의 주의가 요구된다.

이 취약점은 액티브디자이너의 모든 버전에 해당되며, 해당 제품을 사용한 시스템 구축시, 웹페이지 변조, 정보유출, 시스템 파괴 등을 피해를 입을 수 있다. 

이로 인한 피해를 예방하기 위해서는 이미지 첨부 등과 같은 파일 업로드 기능에 서버 사이드 스크립트 웹셸 검증기능을 별도로 구현해야 한다.  

한편, 이번 취약점은 BlackFalcon팀이 Krcert 홈페이지를 통해 제보해 알려졌으며, 보다 자세한 문의사항은 한국인터넷진흥원 인터넷침해대응센터(☏118)로 하면 된다.

*웹쉘(Webshell) : php, jsp, asp 등 스크립트 언어로 되어 있으며, 원격에서 웹서버를 제어할 수 있어 다양한 공격 사용될 수 있는 웹서버형 악성코드

*서버 사이드 스크립트 : 클라이언트-서버 구조에서 서버 쪽에서 행해지는 처리

[김지언 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>