보안 정보
-
보안 동향 ㅣ COVID-19 백신을 대상으로한 피싱 캠페인 성행
침해사고분석팀ㅣ2021.01.26
-
보안 동향 ㅣ 반복적인 포럼 해킹으로 IObit 조롱하는 랜섬웨어 조직
침해사고분석팀ㅣ2021.01.26
-
침해사고분석팀ㅣ2021.01.26
-
침해사고분석팀ㅣ2021.01.26
-
보안 동향 ㅣ 데이팅 사이트, 228만건의 개인정보 유출되다.
침해사고분석팀ㅣ2021.01.25
| 취약점 정보[CVE-2020-27533] DedeCMS keyword XSS | ||||
| 작성일 | 2020-11-06 | 조회 | 57 | |
|---|---|---|---|---|
|
DedeCMS 5.8 버전에 XSS (Cross Site Scripting) 취약점이 존재합니다.
DedeCMS는 php와 MySQL로 개발된 콘텐츠 관리 시스템(Content Management System)으로 강력한 확장성을 특징으로 하는 오픈소스 어플리케이션입니다. 해당 취약점은 action_search.php 에서 keyword 매개변수의 값을 제대로 검증하지 못하여 발생합니다. 원격의 공격자는 악의적으로 조작된 요청을 전송하여 공격 할 수 있습니다.
취약점 설명
NVD - CVE-2020-27533 CVSS v2.0 Severity and Metrics: Base Score: 3.5 LOW
[그림1. NVD 내역]
취약점 분석 해당 취약점은 2020년 7월에 발견된 취약점입니다.
DedeCMS 버전 6.0의 코드를 보면 action_search.php 내의 keyword 매개변수에 XSS 공격을 방지하는 RemoveXSS() 함수를 사용하여 패치를 적용한 것을 볼 수 있습니다.
 [그림2. action_search.php 패치 내역]
공격 분석
CVE-2020-27533의 공격 요청 패킷은 다음과 같습니다.
keyword 매개변수에 악의적인 XSS문을 입력하여 공격을 수행할 수 있습니다. 공격 성공 시, 공격자는 웹 페이지에 악의적인 코드를 삽입할 수 있으며 다른 사용자가 웹 페이지를 볼 때 영향을 받을 수 있습니다.
 [그림3. 공격 패킷]
취약점 대응 방안
1. 최신 버전 사용 해당 벤더사 홈페이지를 참고하여 최신의 패치를 적용합니다.
2. WINS Sniper 제품군 대응 방안
DedeCMS action_search.php keyword XSS
|
||||
| 첨부파일 | 첨부파일이 없습니다. | |||
|
||||
| 태그 | CVE-2020-27533 DedeCMS action_search.php keyword XSS | |||
