Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
취약점 정보[CVE-2020-27533] DedeCMS keyword XSS
작성일 2020-11-06 조회 57

 
DedeCMS 5.8 버전에 XSS (Cross Site Scripting) 취약점이 존재합니다.
 

DedeCMS는 php와 MySQL로 개발된 콘텐츠 관리 시스템(Content Management System)으로 강력한 확장성을 특징으로 하는 오픈소스 어플리케이션입니다. 
 

해당 취약점은 action_search.php 에서 keyword 매개변수의 값을 제대로 검증하지 못하여 발생합니다.
 

원격의 공격자는 악의적으로 조작된 요청을 전송하여 공격 할 수 있습니다.

 

 

 

취약점 설명

 

NVD - CVE-2020-27533

CVSS v2.0 Severity and Metrics:

Base Score:  3.5 LOW

 

[그림1. NVD 내역]

 

 

 

 

취약점 분석

 
해당 취약점은 2020년 7월에 발견된 취약점입니다.
 
 
DedeCMS 버전 6.0의 코드를 보면 action_search.php 내의 keyword 매개변수에 XSS 공격을 방지하는 RemoveXSS() 함수를 사용하여 패치를 적용한 것을 볼 수 있습니다.
 
 
[그림2. action_search.php 패치 내역]
 
 
 
 
 

공격 분석

 

CVE-2020-27533의 공격 요청 패킷은 다음과 같습니다.
 

keyword 매개변수에 악의적인 XSS문을 입력하여 공격을 수행할 수 있습니다.
 
 
공격 성공 시, 공격자는 웹 페이지에 악의적인 코드를 삽입할 수 있으며 다른 사용자가 웹 페이지를 볼 때 영향을 받을 수 있습니다. 
 
 
[그림3. 공격 패킷]
 
 
 
 
 

취약점 대응 방안

 

1. 최신 버전 사용

 
해당 벤더사 홈페이지를 참고하여 최신의 패치를 적용합니다.
 
 
 
2. WINS Sniper 제품군 대응 방안
 
DedeCMS action_search.php keyword XSS
 
첨부파일 첨부파일이 없습니다.
태그 CVE-2020-27533  DedeCMS  action_search.php  keyword XSS