최신 익스프레스 엔진(XE)에서 SQL 인젝션 취약점 발견

소프트포럼 해당 취약점 보고 XE 개발팀에 전달...보안패치 배포

[보안뉴스 김정완] 국내에서 가장 많이 사용되고 있는 공개 웹 게시판인 익스프레스 엔진(XE) 1.5.10에서 취약점이 발견돼 주의가 요구되고 있다.

조정현 소프트포럼 보안기술분석팀 연구원은 “국내에서 가장 많이 사용되고 있는 게시판 중 하나인 익스프레스 엔진(XE)의 최신 버전(1.5.10)에서 SQL Injection 취약점을 발견했다”고 밝혔다.

조정현 연구원에 따르면, 해당 취약점은 회원가입 기능에서 SQL Injection이 가능해 관리자권한의 계정 생성이 가능한 취약점이다. 또한 공격자는 이런 취약점을 악용해 서버에 SQL Injection 공격을 시도, 관리자 계정 생성 후 관리자 메뉴의 레이아웃 기능에 PHP코드를 삽입·실행해 서버에 Webshell까지 생성할 수 있게 된다.

그리고 이 취약점은 회원가입 폼 전송 시 소스코드에서 사용자가 입력하는 값들을 모두 체크하지 않았다. 이후 싱글쿼터 ( ' ) 입력으로 Syntax 에러가 나는 것을 확인할 수 있다.

회원 가입시 쿼리는 아래와 같다. 이중 is_admin 컬럼이 관리자인지 판별하기 위한 컬럼이다. 이 컬럼에 ‘N’이 아니라 ‘Y’ 값을 인젝션 하게 되면 관리자 권한으로 계정이 생성된다.

이와 관련 소프트포럼 보안기술분석팀에서는 해당 취약점에 대한 보고가 익스프레스 엔진 개발팀에 전달되어 익스프레스 엔진 홈페이지(http://www.xpressengine.com/)에서 보안패치가 가능하다고 밝혔다.

[김정완 기자(boan3@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)