보부상 워드프레스 테마에서 판매/배포 중인 BBS e-Board Pro/Free 플러그인의 보안취약점이 발견되어 이어 따른 조치사항으로 업데이트를 시행하였습니다.
해당 제품을 구매/설치 하신 고객분들은 반드시 업데이트를 진행해 주시기 바랍니다.
앞으로도 고객님들께 보다 나은 서비스를 제공할 수 있도록 노력하겠습니다. 감사합니다.
1. 보안 취약점 내역
BBS e-Board Pro, BBS e-Board Free에서 파일 다운로드 취약점과 SQL Injection 취약점 발견
2. 해당 취약점이 영향받는 버전 정보
BBS e-Board Pro, BBS e-Board Free V1.1.8 이하
3. 해당 취약점의 조치 내역
1) 파일 다운로드 취약점
문제가 있을 수 있는 get query의 파라미터를 꼭 다운로드에 필요한 업로드된 정보만을 받아 다운로더에서 그 정보를 바탕으로 가공 처리하여 다운로딩하도록 수정.
* 수정된 파일: proc/download.php
2) SQL 인젝션 취약점
ajax proc 단의 쿼리를 모두 워드프레스에서 제공하는 $wpdb->prepare();를 이용.
* 이스케이핑 수정된 파일:
proc/comment_load.exec.php
proc/comment_pass_check.exec.php
proc/comment_write.exec.php proc/delete.exec.php
proc/delete_comment.exec.php proc/delete_view.exec.php
proc/download.php proc/move.exec.php
proc/pass_check.exec.php proc/write.exec.php
3) 기타 수정된 파일
class/board.class.php
4) 향후 보완방안
단계적으로 모든 db쿼리 검증 및 이스케이핑 처리예정
4. 해당 취약점이 해결된 제품 버전 정보
BBS e-Board Pro / BBS e-Board Free Ver 1.1.9
한국형 워드프레스 테마샵 ㅣ보부상 워드프레스 테마
http://www.bbsetheme.com/
'나야나 공지사항' 카테고리의 다른 글
| 클라우드보다 더 저렴한 단독서버호스팅 특가 이벤트! (3) | 2016.01.20 |
|---|---|
| 도메인 신규 등록, 기관이전 1만원 이벤트! (.com/.net/.kr/.co.kr/.한국) (0) | 2015.12.02 |
| 보부상 쇼핑몰, 간편결제/배송조회/디자인 셀 쇼핑몰 기능 업데이트 안내 (0) | 2015.11.19 |
| 국내유일 한국형 워드프레스 테마샵 '보부상 워드프레스 테마' (0) | 2015.11.10 |
| 제1회 보부상 워드프레스 검색엔진최적화(SEO) 교육 현장 (0) | 2015.10.30 |
