그누보드 5.0.36 버전서 XSS 취약점 발견...현재 패치 완료

URL 입력창에 스크립트 삽입해 사용자 세션 정보 탈취하는 취약점

[보안뉴스 민세아] 국내에서 많은 사용자를 보유하고 있는 오픈소스 프로그램인 그누보드에서 XSS(Cross-Site Script) 취약점이 발견됐다.

그누보드 XSS 취약점을 제보한 해커팩토리(Hacker Factory) 측은 그누보드 5.0.36버전에서 URL 입력창에 악성 스크립트를 삽입해 사용자의 세션정보를 탈취할 수 있는 문제점을 제기했다.

해당 취약점은 그누보드 다수의 페이지에서 참조하는 ‘head.php’ 파일 내의 특정 변수에 대한 검증 미흡으로 발생하는 취약점이다.

예를 들면, 모바일 버전 링크의 경우 사용자가 요청한 URL에 ‘device=mobile’이라는 값을 덧붙여서 링크를 생성하게 되는데, 사용자가 특정 스크립트를 삽입해 URL을 요청했을 때 스크립트를 필터링 하지 않고 그대로 ‘device=mobile’이라는 값을 덧붙여서 링크를 생성하게 된다.

만약 악성 스크립트가 포함된 URL 값이 입력될 경우 사용자의 세션 정보를 탈취할 수 있게 되는 것이다.

현재 해당 취약점은 패치가 완료된 상태이며, 그누보드5 다운로드 메뉴(http://sir.co.kr/g5_pds/2954)에서 패치 파일을 확인할 수 있다.

그누보드(gnuboard)는 웹에서 게시판, 회원정보 등을 편리하게 관리할 수 있는 게시판 프로그램으로, 오픈된 소스코드를 바탕으로 플러그인 등의 다양한 기능을 쉽게 추가할 수 있어 많은 사용자를 보유하고 있다.

[민세아 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>