개요

• NHN社의 오픈프로젝트로 제공중인 “SmartEditor2.0 Basic”에서 파일 업로드 취약점이 발견됨[1]
• 취약한 버전을 사용하고 있을 경우, 홈페이지 해킹에 의해 홈페이지 변조, 데이터베이스 정보 유출 등의 피해를 입을 수 있으므로 웹 관리자의 적극적인 조치 필요

해당 시스템

• 영향 받는 소프트웨어
  • SmartEditor2.0 Basic (2.3.3) 및 이전버전

해결방안

• 기존 네이버 스마트에디터를 설치한 관리자는 업데이트가 적용된 상위 버전(SmartEditor2.0 Basic 2.3.4 이상)으로 업그레이드
• 네이버 스마트에디터를 새로 설치하는 관리자
  • 반드시 보안패치가 적용된 최신버전 (SmartEditor2.0 Basic 2.3.4 이상)을 설치

용어 정리

• SmartEditor2.0 Basic : 네이버 오픈프로젝트로 제공하고 있는 JavaScript로 구현된 웹 기반의 WYSIWYG 편집기
• 웹셸 : php, jsp, asp 등 서버사이드 스크립트 언어로 되어 있으며, 공격자가 원격에서 웹서버에 임의의 명령을 실행 시킬 수 있는 웹서버형 악성코드

문의사항

• 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118

기타

• 본 취약점은 Krcert 홈페이지를 통해 국제정보보안센터(i2Sec)에서 제공해주셨습니다.

[참고사이트]
[1] http://dev.naver.com/news/detail.php?news_id=1060