Severe Flaw Disclosed In StackStorm DevOps Automation Software 보안 연구원들이 인기 있는 이벤트 자동화 오픈소스 플랫폼인 StackStorm에서 개발자들이 알지 못하는 사이 원격 공격자들이 타겟 서비스에서 임의 명령을 실행하도록 속일 수 있는 심각한 취약점을 발견했습니다. StackStorm는 DevOps IFTTT로 알려져 있는데, 강력한 자동화 툴로 개발자들이 대규모 서버에서 작업을 수행하기 위한 행위, 워크플로우, 예약 작업 등을 구성할 수 있도록 서비스와 툴을 통합 및 자동화하는데 사용합니다. ※ IFTTT(If This Then That)란? 인터넷과 컴퓨터에 존재하는 여러 별개의 서비스와 어플들을 임의로 연동시켜주는 서비스로, IFTTT가 지원..

국내외 보안동향 2019. 3. 12. 09:49

워드프레스 DOM XSS 취약점 발견 워드프레스에서 DOM(Document Object Model) XSS 취약점이 발견되었습니다. 해당 취약점은 Genericons 아이콘 폰트 패키지 내의 'example.html' 파일에 존재합니다. 이 파일은 워드프레스의 기본 테마인 Twentyfifteen와 백만 이상의 실사용자를 보유하고 있는 유명 JetPack 플러그인에도 내장되어 있습니다. 확인 결과, 해당 example.html 파일은 DOM XSS 취약점이 존재하는 구 버전의 jQuery를 사용하는 것으로 밝혀졌습니다. DOM(Document Object Model) 기반의 XSS 공격은 브라우저 내에서 악성 자바 스크립트 코드를 실행시키기 위해 사용자가 악성 링크를 클릭하도록 유도합니다. 공격자는 이러..

국내외 보안동향 2015. 5. 8. 11:10

워드프레스 WP-Super-Cache 플러그인에서 심각한 취약점 발견 최근 편리한 사용법과 우수한 기능으로 워드프레스 사용자들에게 많은 사랑을 받고 있는 WP-Super-Cache 플러그인에서 심각한 보안취약점이 발견되었습니다. 해당 취약점으로 인해 약 100만개 이상의 워드프레스가 영향을 받을 것으로 예상됩니다. 이번에 발견된 취약점은 Cross-Site-Scripting(XSS) 취약점으로, 취약한 버전의 WP-Super-Cache 플러그인을 사용하고 있는 워드프레스 페이지에 해당 취약점을 이용하여 악성코드를 삽입할 수 있습니다. 먼저, 공격자는 조작된 쿼리를 이용하여 악성 스크립트를 플러그인의 캐시된 파일목록 페이지에 삽입합니다. 해당 페이지를 정상적으로 표시하기 위해서는 페이지에서 유효한 nonc..

국내외 보안동향 2015. 4. 15. 09:44