블로그

검색 폼

워드프레스 플러그인 파일 업로드 취약점 발견!

[보안뉴스 김태형]  글로벌 웹 어플리케이션인 워드프레스(Wordpress) Nmedia Plugin의 파일 업로드 취약점이 발견되어 이용자들의 주의가 필요하다.


     


이 취약점은 플러그인 N-Media의 파일 확장자에 대한 필터링이 존재하지 않아 시스템 명령을 전송할 수 있는 심각한 취약점이다. 이에 이번 취약점을 발견한 국제정보보안센터(i2Sec:부산·대구)는 글로벌 웹 어플리케이션인 워드프레스(Wordpress) plugin N-Media의 긴급 보안패치를 권고했다.

 

Nmedia Users File Uploader Plugin은 워드프레스에서 사용되는 플러그인이며, Ajax 기반으로 파일 리스트 조회, 파일 업로드 및 다운로드, 파일 공유 기능을 지원한다. 현재 최신 버전은 2013년 6월 20일 업데이트된 2.3 버전이며, 동일한 플러그인 하위 버전에 모두 취약점이 노출된 상태다.

 

이는 파일 확장자에 대한 필터링이 존재하지 않아 시스템 명령을 전송할 수 있는 심각한 취약점으로 보안 패치는 필수다.

 

이번 취약점을 발견한 국제정보보안센터(i2Sec:부산,대구) 16기 수강생 김수련 씨는 “현재 개발자에게 보안권고문을 전달한 상태이며, 매우 감사하다는 답장과 곧 패치가 완료될 것이라는 답변을 받았다”면서 “이미 널리 알려진 플러그인의 보안검수에 대한 국가·단체의 지원 및 인식 전환이 필요한 시점”이라고 전했다.

 

또한, 그는 “해당 취약점은 클라이언트 보안, 서버 보안, 우회패턴 보안에 대한 기본적인 필터가 이루어지고 있지 않아 패치가 이루어지기 전까지 스크립트 키드들의 악의적인 활용을 막기 위해 구체적인 공격 코드는 공개하지 않는다”고 전했다.

 

아울러 국제정보보안센터(i2Sec: 부산,대구)의 주성만 연구책임은 “KISA에서 진행하는 취약점 보상제도를 보다 확대해 신규 취약점에 대한 보상 및 제보 활성화를 위한 범국가적인 지원이 강화되어야 한다”라고 덧붙였다.

[김태형 기자(boan@boannews.com)]

 

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

admin의 아바타
안내 admin

J2MORROW에 오신것을 환영합니다.