웹셸 업로드 통해 웹 서버의 모든 권한 획득 가능

[보안뉴스 김태형] 국내 PHP 기반의 공개 웹 게시판인 ‘위즈몰 6.5.4버전’을 이용해 게시판을 구축해 취약점 테스트를 진행한 결과 PHP 인젝션을 이용한 파일업로드 취약점이 발견됐다.

이번 취약점을 발견한 국제정보보안교육센터(i2sec) 18기 수강생 김승준 군은 “이번 공격의 경우 관리자 혹은 일반 사용자의 계정 탈취 과정 없이 허가되지 않은 폴더에 웹셸을 업로드해 서버 셸을 획득한 후, DB 정보파일 및 서버 주요 정보를 다운로드 할 수 있다”고 설명했다.

해당 취약점은 현재 담당자에게 전달된 상태이며, 곧 보안조치가 완료될 예정이다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>