VU#633103: nopCommerce ASP.NET Core 전자상거래 플랫폼에서 세션 쿠키 무효화 부족

인기 있는 전자상거래 플랫폼인 nopCommerce는 세션 쿠키와 관련된 심각한 취약점에 시달리고 있습니다. 이 플랫폼은 사용자가 로그아웃하거나 세션이 종료될 때 세션 쿠키를 무효화하지 못합니다. 이러한 무효화 실패는 공격자가 훔친 쿠키를 사용하여 사용자 세션을 하이재킹할 수 있도록 하며, 이는 CVE-2019-7215와 유사합니다. 공격자는 XSS 또는 네트워크 가로채기와 같은 다양한 수단을 통해 이러한 세션 쿠키를 얻을 수 있습니다. 손상된 쿠키는 관리자 패널과 같은 권한 있는 영역에 대한 접근 권한을 부여합니다. 이 취약점은 nopCommerce 버전 4.70 이하 및 버전 4.80.3에 영향을 미칩니다. 세션 하이재킹은 잘 알려진 공격 벡터로, 종종 금융 사기 및 랜섬웨어 공격에 사용됩니다. 공격자는 훔친 세션 쿠키를 다크 웹에서 판매하는 등 다양한 악의적인 활동에 사용합니다. 성공적인 악용의 영향으로는 잠재적인 금전적 손실과 랜섬웨어 공격이 있습니다. 해결 방법은 버전 4.90.3 또는 버전 4.70 이상(버전 4.80.3 제외)의 nopCommerce로 업데이트하는 것입니다. 사용자는 이 위험을 완화하기 위해 nopCommerce 설치를 업데이트할 것을 강력히 권장합니다.