보안 정보
-
취약점 정보 ㅣ [CVE-2020-10199] Sonatype Nexus RCE
침해사고분석팀ㅣ2021.01.15
-
취약점 정보 ㅣ [CVE-2019-11229] Gitea RCE
침해사고분석팀ㅣ2021.01.15
-
침해사고분석팀ㅣ2021.01.15
-
침해사고분석팀ㅣ2021.01.15
-
침해사고분석팀ㅣ2021.01.15
| 취약점 정보[CVE-2020-27974] NeoPost MAS XSS 취약점 | ||||
| 작성일 | 2020-11-06 | 조회 | 32 | |
|---|---|---|---|---|
 NeoPost Mail Accounting Software Pro 5.0.6에 XSS(Cross Site Scripting) 취약점이 존재합니다.
Neopost MAS(Mail Accounting Software)은 프랑스 Neopost 회사의 메일 회계 소프트웨어입니다.
해당 취약점은 code 매개 변수에 대한 입력 값 필터링이 부적절하여 발생합니다.
공격 성공 시, 임의의 코드가 실행됩니다.
취약점 설명
NVD - CVE-2020-27974 CVSS v2.0 Severity and Metrics: Base Score: 6.3 MEDIUM
[그림1. NVD 내역]
취약점 분석
CVE-2020-27974는 10월 28일 NVD에 게시된 취약점 입니다.
사용자가 URI에 NeoPost MAS 의 php/Commun/FUS_SCM_BlockStart.php 파일내 code 매개변수 값에 악의적인 스크립트 코드를 입력 했을 때 발생합니다.
이러한 취약점은 사용자의 입력 값을 검증하도록 하여 취약한 부분을 해결해야 합니다.
공격 분석
CVE-2020-27974 의 공격 패킷은 다음과 같습니다.
영향을 받는 버전은 NeoPost Mail Accounting Software 5.0.6 버전으로 아직 공식적인 보안 권고는 공개되지 않은 상태입니다.
 [그림2. 공격 패킷]
1. 최신 버전 사용
아래의 링크를 참고하여 추후 최신의 버전으로 패치합니다. https://herolab.usd.de/security-advisories/usd-2020-0029/
2. WINS Sniper 제품군 대응 방안
NeoPost MAS FUS_SCM_BlockStart XSS
|
||||
| 첨부파일 | 첨부파일이 없습니다. | |||
|
||||
| 태그 | CVE-2020-27974 NeoPost MAS FUS_SCM_BlockStart | |||
