“필요하지 않다면 HTML 포멧 사용금지 해야”
보부상 테마(BBS e-Theme)의 워드프레스용 플러그인 BBS e-Board Free (1.2.9 ver)과 BBS e-Franchise(1.0.0 ver)에서 XSS 취약점이 발견됐다.해당 취약점을 데일리시큐에 제보한 국제정보보안교육센터(i2sec) 31기 수강생 이현수 씨는 “두 플러그인에서 XSS 취약점이 발견되었으며 BBS e-Board Free (1.2.9 ver) 플러그인에서는 일반 사용자들이 악의적으로 글 제목에 악성 스크립트를 넣어서 다른 사용자나 관리자 계정의 세션 탈취를 할 경우와 관리자가 악의적으로 카테고리에 악성 스크립트를 작성한 경우나 아니면 관리자 계정이 해킹 당해 카테고리에 악성 스크립트가 작성될 경우 취약점이 발생할 수 있으며, 다른 플러그인 BBS e-Franchise(1.0.0 ver)에서는 관리자만이 등록 가능하기에 관리자가 악의적으로 악성 스크립트를 작성한 경우나 관리자 계정이 해킹 당해 악성 스크립트가 작성될 경우도 XSS 취약점이 발생했다”고 설명했다.
국제정보보안교육센터 측은 ”이번 취약점의 각 항목들의 특정 문자열 필터링, 글쓰기의 경우, HTML 포멧 사용제한, 카테고리의 경우, 필요하지 않다면 HTML 포멧 사용금지를 해야 한다”고 전했다.
해당 취약점은 현재 사이트의 담당자에게 전달되었으며 보안 패치가 이루어질 예정이다. 패치가 나오면 사용자들은 신속히 업데이트해야 안전할 수 있다.
★정보보안 대표 미디어 데일리시큐!★
<데일리시큐 길민권 기자> mkgil@dailysecu.com
■ 보안 사건사고 제보 하기
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지