CKEditor 이미지 업로드 시 경로 PATH 노출 문제에 대한 건
- 작성자 :
- 이*재
- 작성일 :
- 2018-08-13 14:09:36
- 조회수 :
- 2,384
- 구분 :
- 공통컴포넌트
- 진행상태 :
- 완료
Q
한국국제보건의료재단의 글로벌 통합연수 관리시스템 개발을 담당하고 있는 개발사 동그라미소프트 소속 개발자 이상재입니다.
기존 CKEditor 이미지 업로드 시 경로 PATH가 노출되는 웹취약점에 대한 수정 패치를 받아 적용한 후 확인한 결과
1. CKEditor의 이미지 업로드의 경우 Filter를 이용한 처리방법을 사용하고 있으므로, 여전히 업로드 경로 PATH가 노출되는 현상이 발생
2. 이미지를 불러오는 부분의 경우 이미 복호화 알고리즘이 적용되어 정상적으로 업로드 된 이미지라 할지라도 화면상에 존재하지 않는 파일로 인식됨.
3. 또한 복호화 시 파일 경로에 이상한 문자가 포함된 상태로 복호화되어 문제가 생김
결론. 현재 CKEditor Filter에서 사용중인 Util 중 DefaultFileSaveManager 클래스에 대한 임의의 변경을 통한 암호화 알고리즘을 적용해야하는 것인지 추가 패치가 적용될 때까지 해당 기능을 사용하지 않도록 제한해야 하는 것인지 확인이 필요함.
P.S. 우선 현 사이트의 경우 임의로 해당 클래스를 변경하여 사용하는 것으로 진행할 예정입니다.
관련 추가 패치 정보가 있을 경우 공유 부탁드립니다.
기존 CKEditor 이미지 업로드 시 경로 PATH가 노출되는 웹취약점에 대한 수정 패치를 받아 적용한 후 확인한 결과
1. CKEditor의 이미지 업로드의 경우 Filter를 이용한 처리방법을 사용하고 있으므로, 여전히 업로드 경로 PATH가 노출되는 현상이 발생
2. 이미지를 불러오는 부분의 경우 이미 복호화 알고리즘이 적용되어 정상적으로 업로드 된 이미지라 할지라도 화면상에 존재하지 않는 파일로 인식됨.
3. 또한 복호화 시 파일 경로에 이상한 문자가 포함된 상태로 복호화되어 문제가 생김
결론. 현재 CKEditor Filter에서 사용중인 Util 중 DefaultFileSaveManager 클래스에 대한 임의의 변경을 통한 암호화 알고리즘을 적용해야하는 것인지 추가 패치가 적용될 때까지 해당 기능을 사용하지 않도록 제한해야 하는 것인지 확인이 필요함.
P.S. 우선 현 사이트의 경우 임의로 해당 클래스를 변경하여 사용하는 것으로 진행할 예정입니다.
관련 추가 패치 정보가 있을 경우 공유 부탁드립니다.
A
안녕하세요.
표준프레임워크센터 입니다.
문의하신 내용 답변드리겠습니다.
답변1.
CKFilter 사용은 운영시를 고려하여 권장드리지 않으며
부득이 사용하셔야 하는경우 패치 가이드의 내용을 별도로 적용하셔야 합니다.
가이드 드린 /utl/wed/insertImage.do를 사용하셔도 동일 기능에 패치를 적용하실수 있습니다.
답변2.
이미 등록된 이미지의 경우 경로가 포함된 URL을 유지 하기 때문에
부득이 별도로 수정하셔야 합니다.
번거로우 시더라도 수정할수 밖에 없습니다.
답변3.
암호화후 최종적으로 Base64로 변경하는데
+기호 같은 경우 문제가 되는경우 UrlEncoding으로 처리하시면
해결될 것입니다.
감사합니다.
표준프레임워크센터 입니다.
문의하신 내용 답변드리겠습니다.
답변1.
CKFilter 사용은 운영시를 고려하여 권장드리지 않으며
부득이 사용하셔야 하는경우 패치 가이드의 내용을 별도로 적용하셔야 합니다.
가이드 드린 /utl/wed/insertImage.do를 사용하셔도 동일 기능에 패치를 적용하실수 있습니다.
답변2.
이미 등록된 이미지의 경우 경로가 포함된 URL을 유지 하기 때문에
부득이 별도로 수정하셔야 합니다.
번거로우 시더라도 수정할수 밖에 없습니다.
답변3.
암호화후 최종적으로 Base64로 변경하는데
+기호 같은 경우 문제가 되는경우 UrlEncoding으로 처리하시면
해결될 것입니다.
감사합니다.