그누보드, 사용자 세션 탈취 가능한 XSS 취약점 발견
페이지 정보
본문
그누보드 XSS 취약점을 제보한 해커팩토리(Hacker Factory) 측은 그누보드 5.0.36버전에서 URL 입력창에 악성 스크립트를 삽입해 사용자의 세션정보를 탈취할 수 있는 문제점을 제기했다.
해당 취약점은 그누보드 다수의 페이지에서 참조하는 ‘head.php’ 파일 내의 특정 변수에 대한 검증 미흡으로 발생하는 취약점이다.
예를 들면, 모바일 버전 링크의 경우 사용자가 요청한 URL에 ‘device=mobile’이라는 값을 덧붙여서 링크를 생성하게 되는데, 사용자가 특정 스크립트를 삽입해 URL을 요청했을 때 스크립트를 필터링 하지 않고 그대로 ‘device=mobile’이라는 값을 덧붙여서 링크를 생성하게 된다.
만약 악성 스크립트가 포함된 URL 값이 입력될 경우 사용자의 세션 정보를 탈취할 수 있게 되는 것이다.
현재 해당 취약점은 패치가 완료된 상태이며, 그누보드5 다운로드 메뉴(http://sir.co.kr/g5_pds/2954)에서 패치 파일을 확인할 수 있다.
해당 취약점은 그누보드 다수의 페이지에서 참조하는 ‘head.php’ 파일 내의 특정 변수에 대한 검증 미흡으로 발생하는 취약점이다.
예를 들면, 모바일 버전 링크의 경우 사용자가 요청한 URL에 ‘device=mobile’이라는 값을 덧붙여서 링크를 생성하게 되는데, 사용자가 특정 스크립트를 삽입해 URL을 요청했을 때 스크립트를 필터링 하지 않고 그대로 ‘device=mobile’이라는 값을 덧붙여서 링크를 생성하게 된다.
만약 악성 스크립트가 포함된 URL 값이 입력될 경우 사용자의 세션 정보를 탈취할 수 있게 되는 것이다.
현재 해당 취약점은 패치가 완료된 상태이며, 그누보드5 다운로드 메뉴(http://sir.co.kr/g5_pds/2954)에서 패치 파일을 확인할 수 있다.
- 이전글출장마사지 24.04.15
- 다음글Maximize Your SEO Strategy with GSA Online Search Engine Ranker 24.04.14
댓글목록
등록된 댓글이 없습니다.