웹서버 web editor 취약점 및 샘플페이지

※ 주의 : 본 포스팅의 내용을 악용할 시 법적 문제를 야기할 수 있으므로, 반드시 법적 테두리 안에서 허용되는 경우에만 사용하시기 바랍니다.

웹 서버에 게시판 SW(웹 에디터)에 대한 취약점을 이용한 공격이 다수 발생하고 있다고 합니다.

주로 발생하는 에디터 종류로는

1. Smart Editor (네이버)

2. Namo Cross Editor(지란지교소프트)

3. 나모 웹 에디터(나모인터랙티브)

각 Web Editor 별로 최신버전의 업데이트가 필요합니다.

 

1. Smart Editor

 - 이미지 업로드 취약점 등이 제거된 최신버전(2.9.1 이상)으로 업데이트 필요

 - 2.9.0 버전부터 취약한 이미지 업로드 예제용 샘플 페이지를 제거하고 배포중

 - 구버전 운영중인 경우 이미지 업로드 샘플파일 존재여부 확인 후 제거

 - sample > photo_uploader 디렉터리에 샘플파일이 존재

 

2. 나모 웹에디터 및 크로스에디터

 - 샘플페이지에 첨부기능을 활용하여 업로드 공격이 가능

 - 최신 버전의 나모 웹에디터, 크로스에디터로 업데이트 필요

 - 3.5.1.14 및 4.2.0.12 버전 이상에서 업로드 취약점 패치 공지

 

-------

각 에디터별 샘플 페이지 (예시)

1. CHEditor 

/editor/popup/image.html

/cheditor/

/core/editor/

/board/cheditor/

/js/cheditor/

/cheditor4/

/ko/cheditor4/

/cheditor5/

/cheditor/example/newpost.html /cheditor/example/modifiy.html /cheditor/example/multi.html /cheditor/imageUpload/upload.jsp

 

2. CKEditor

/ckeditor/ /ckfinder/ /ckfinder/ckfinder.html ckeditor/upload.jsp /ckeditor/_samples/

/ckeditor/samples/

/ckeditor/_samples/index.html /ckeditor/samples/index.html /skins/ckeditor/

/_sys/_plugin/cke

3. Namo CrossEditor

/namo/ /namo/index.html /namo/manage/index.html /crosseditor/

/crosseditor/manager/

/crosseditor/index.html /crosseditor/manage/index.html /crosseditor/manage/jsp/manager_setting.jsp /crosseditor/binary/upload/devshell.jsp /crosseditor/binary/upload/cmd.jspx /resources/crosseditor/ /resources/crosseditor/index.html /resources/component/crosseditor/index.html

 

4. DaumEditor

/daumeditor/

/_moduel/daumeditor/

/daumeditor/editor.html

 

5. SmartEditor

/js/se2/SmartEditor2.html

/nse/SmartEditor2.html

/SmartEditor2.html

/SmartEditorBasic/

/SmartEditor2/

/SmartEditorBasic/SEditorDemo.html

/SEditor/popup/quick_photo/imgupload.jsp

/smarteditor/photo_uploader/popup/file_uploader_html5.php

/photo_uploader/popup/attach_photo.js