개요

• 태그프리社 웹에디터 제품인 “액티브디자이너”는 파일업로드 취약점에 대한 기본검증 기능을 제공하지 않음 [1]
• 해당 제품을 사용한 시스템 구축시, 파일 첨부 기능에 별도의 웹셸 업로드를 제한하는 검증 기능을 구현하지 않을 경우, 웹페이지 변조, 정보유출, 시스템 파괴 등을 피해를 입을 수 있으므로, 개발자의 주의가 요구됨

 해당 시스템

• 영향 받는 소프트웨어
  - 액티브디자이너 전버전

권장방안

• 액티브디자이너 제품을 사용한 시스템 구축시, 이미지 첨부 등과 같은 파일을 업로드 기능에 서버 사이드  스크립트 웹셸 검증 기능을 별도로 구현
  ※ 개발사 보안가이드 참조 : http://tagfree.com/news/newss1_01.asp?view=2622

용어 정리

• 웹쉘(Webshell) : php, jsp, asp 등 스크립트 언어로 되어 있으며, 원격에서 웹서버를 제어할 수 있어  다양한 해킹공격에 사용될 수 있는 웹서버형 악성코드
• 서버 사이드 스크립트 : 클라이언트-서버 구조에서 서버 쪽에서 행해지는 처리

문의사항

• 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118

기타

• 본 취약점은 Krcert 홈페이지를 통해 BlackFalcon님께서 제공해주셨습니다.

[참고사이트]
[1] http://tagfree.com/news/newss1_01.asp?view=2622