Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
취약점 정보[CVE-2020-27974] NeoPost MAS XSS 취약점
작성일 2020-11-06 조회 32
 
NeoPost Mail Accounting Software Pro 5.0.6에 XSS(Cross Site Scripting) 취약점이 존재합니다.
 
 
Neopost MAS(Mail Accounting Software)은 프랑스 Neopost 회사의 메일 회계 소프트웨어입니다.
 
 
해당 취약점은 code 매개 변수에 대한 입력 값 필터링이 부적절하여 발생합니다. 
 
 
공격 성공 시, 임의의 코드가 실행됩니다. 

 

 

 

 

취약점 설명

 

NVD - CVE-2020-27974

CVSS v2.0 Severity and Metrics:

Base Score: 6.3 MEDIUM

 

 

[그림1. NVD 내역]

 

 

 

 

취약점 분석

 

CVE-2020-27974는 10월 28일 NVD에 게시된 취약점 입니다.
 
 
사용자가 URI에 NeoPost MAS 의 php/Commun/FUS_SCM_BlockStart.php 파일내 code 매개변수 값에 악의적인 스크립트 코드를 입력 했을 때 발생합니다. 
 
 
이러한 취약점은 사용자의 입력 값을 검증하도록 하여 취약한 부분을 해결해야 합니다.

 

 

 

 

공격 분석

 

CVE-2020-27974 의 공격 패킷은 다음과 같습니다.
 

영향을 받는 버전은 NeoPost Mail Accounting Software 5.0.6 버전으로
 
 
아직 공식적인 보안 권고는 공개되지 않은 상태입니다. 
 
 

[그림2. 공격 패킷]

 

 


취약점 대응 방안

 

1. 최신 버전 사용

 

아래의 링크를 참고하여 추후 최신의 버전으로 패치합니다.

https://herolab.usd.de/security-advisories/usd-2020-0029/
https://www.quadient.com/de-DE/

 

 

2. WINS Sniper 제품군 대응 방안

 

NeoPost MAS FUS_SCM_BlockStart XSS

 

첨부파일 첨부파일이 없습니다.
태그 CVE-2020-27974  NeoPost MAS  FUS_SCM_BlockStart