인포섹, 익스프레스 엔진 XSS 취약점 발견

아주경제 권석림 기자= 인포섹은 국내 PHP기반의 공개 웹 게시판인 익스프레스 엔진에서 XSS(Cross-Site Scripting) 취약점을 발견했다고 28일 밝혔다.

발견된 XSS취약점은 악의적인 스크립트가 특정 경로에서 실행 되면서 사용자의 쿠키값 탈취 및 공격자가 만들어 놓은 홈페이지로 유도하여 추가적인 악성코드를 실행시킬 수 있다.

영향을 받는 소프트웨어는 익스프레스 엔진 1.5.3.3 및 이전 버전으로 취약한 버전을 사용하고 있을 경우, XSS를 통해 개인 정보 유출 및 좀비PC가 되는 등의 피해를 입을 수 있다

이에 따라 기존 익스프레스 엔진(1.5.3.3 및 이전) 사용자는 긴급 업데이트가 적용된 상위 버전(1.5.3.4) 으로 업그레이드 하고, 익스프레스 엔진을 새로 설치하는 사용자의 경우 반드시 보안패치가 적용된 최신버전을 설치해야 한다.

해당 취약점은 패치 권고문이 배포된 상태로 관련 홈페이지(www.xpressengine.com/blog/textyle/21351939) 또는 인터넷침해사고대응센터(www.krcert.or.kr/kor/data/secNoticeView.jsp?p_bulletin_writing_sequence=1643)에서 다운로드 가능하며 전화 국번 없이 118을 통해서도 관련 안내를 받을 수 있다.