최근에 그룹분들과 연구하여 제로보드 XE에 대한 관리자 권한이 획득 가능한 CSRF 취약점을 발견하여 리포팅을 하였습니다. 해당 건에 대해 8월 25일경에 패치가 나온것을 확인하여 기록용으로 남겨 둡니다. XE Core 1.4.3.1 changeset : r7598 ~ r7658 주요 변경 사항 CSRF 보안 취약점 수정 CSRF 보안 취약점이 발견되어 수정하였습니다. 해당 취약점을 알려주신 표경태님, 박영준님, 최영대님께 고맙다는 말씀드립니다. 해당 …
제로보드 XE 1.4.0.11 보안 패치 배포!
얼마전 주말에 찾은 CSRF 취약점에 대해 개발자분께 알려 드렸드니 금일 패치가 되었네요.. http://www.xpressengine.com/18838863 생각보다 패치가 빨리 나와…. 놀랐습니다. 보통 취약점 포스팅 하면 엄청 늦게 패치가 되거나…이런걸 왜 제보하느냐 등 안좋은 소릴 들을수도 있다던데…. 제로보드는 국내 대표 CMS 답게 괜찮은거 같습니다.앞으로도 계속 꾸준히 제로보드를 이용할거 같네요… 제로보드 최고! -____-)b http://null2root.tistory.com/entry/Zeroboard-XE-CSRF-%EC%B7%A8%EC%95%BD%EC%A0%90
Zeroboard 4.1 pl7 now_connect() Remote Code Execution Exploit
Zeroboard 4.1 pl7에 대한 Exploit 코드가 공개되었네요. http://milw0rm.com/exploits/9590 취약점은 예전에 알려진 취약점으로 이미 pl8 버젼에 패치가 되었던걸로 기억하네요. 하지만 여전히 패치가 안된 서버가 많겠죠? -_- /* poc by kyoungchip,jang email : SpeeDr00t1004@gmail.com [*] the bug – http://www.xpressengine.com/15955761 Application – Zeroboard 4.1 pl7 Reference: – http://www.nzeo.com – Zeroboard preg_replace() vulnerability Remote nobody exploit by n0gada [*] …