Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
취약점 정보[CVE-2020-28351] Mitel ShoreTel onmouseover XSS
작성일 2020-11-27 조회 27

 

 

Mitel ShoreTel 19.46.1802.0에 크로스 사이트 스크립팅(XSS) 취약점이 존재합니다.

해당 취약점은 HOME_METTING & page의 time_zone 개체에 대한 유효성 검사가 충분하지 못하여 발생합니다.
 
공격 성공 시, 임의의 코드가 실행될 수 있습니다.
 
 
 


취약점 설명

 

NVD - CVE-2020-28351

CVSS v3.0 Severity and Metrics:

Base Score: 4.3 MEDIUM

 

 

[그림1. NVD 내역]

 

 

 


취약점 분석

 

해당 취약점은 onmouseover XSS로, 페이로드가 실행되고 마우스가 개체 위에 롤오버 되는 순간 취약점이 익스플로잇됩니다.

 

HOME_MEETING & page의 time_zone 개체에 대한 유효성 검사가 충분하지 않아 발생합니다.
 


취약한 버전은 Mitel ShoreTel Firmware 19.46.1802.0으로,

 

현재 Mitel 사에서 ShoreTel사를 인수하여 Mitel사에서 정보를 제공하고 있습니다.

 

 

 

 

공격 분석

 

CVE-2020-28351의 공격 패킷은 다음과 같습니다.

 

[그림2. 공격 패킷]

 

[그림3. 공격 성공 예시 (출처 : Github dievu/CVE-2020-28351) ]

 

 

 

 

 

취약점 대응 방안

 

1. WINS Sniper 제품 군 대응 방안

 

Mitel ShoreTel Conferencing onmouseover XSS

 

첨부파일 첨부파일이 없습니다.
태그 CVE-2020-28351   Mitel ShoreTel   onmouseover