Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
취약점 정보[CVE-2021-24146] WP MEC Information Disclosure
작성일 2021-07-09 조회 4171

 

 

 

Modern Events Calendar에 Information Disclosure 취약점이 존재합니다.

 

Modern Events Calendar(MEC)는 웹 사이트에 이벤트 캘린더를 더욱 쉽게 표시할 수 있도록 설계된 포괄적인 무료 이벤트 관리 플러그인입니다.

 

해당 취약점은 /wp-admin/admin.php 경로에서 export 파일에 대한 접근을 제대로 차단하지 않아 발생합니다. 원격의 공격자는 악의적으로 조작된 HTTP 요청을 전송하여 공격할 수 있습니다.

 

공격 성공 시, 임의의 정보가 유출될 수 있습니다.

 

 

 

취약점 설명

 

NVD - CVE-2021-24146

CVSS v2.0 Severity and Metrics:

Base Score: 5.0 MEDIUM

 

 

[그림1. NVD 내역]

 

 

 

취약점 분석

 

해당 취약점은 Modern Events Calendar에서 export 파일에 대한 접근을 제대로 차단하지 않아 인증되지 않은 사용자가 캘린더에 기입된 모든 이벤트를 csv나 xml 형식으로 export하는 것을 허용합니다.

 

 

 

[그림2. /app/features/ix/export.php 코드 일부]

 

 

패치된 버전에서는 defined('MECEXEC') or die(); 구문을 추가하여 Modren Events Calendar를 통한 접근인지 아닌지 확인해 아니라면 차단하게끔 설정되어 있습니다.

 

defined() 함수는 php에서 상수가 등록되어있는지를 검사하는 함수로 define() 함수를 통해 상수를 등록해야합니다.

 

 

 

[그림3. /modern-events-calendar-lite.php 코드 일부]

 

 

이는 Modern Events Calendar 플러그인의 상수를 정의하는 코드에서 MECEXEC 상수를 1로 지정함으로써 활서화하는 것을 확인할 수 있습니다.

 

취약한 버전은 5.16.5 이전 버전으로 5.16.5부터 패치가 적용되었습니다.

 

 

 

공격 분석 및 테스트

 

CVE-2021-24146의 공격 패킷은 다음과 같습니다.

 

 

[그림4. 취약한 패킷]

 

 

 

취약점 대응 방안

 

1. 최신 버전 사용

 

해당 벤더사에서 발표한 보안 권고를 참고하여 최신 버전으로 업데이트 한다.
https://wordpress.org/plugins/modern-events-calendar-lite/

 

 

2. WINS Sniper 제품군 대응 방안

 

[6103] Wordpress Plugin MEC admin.php Information Disclosure

 

첨부파일 첨부파일이 없습니다.
태그 CVE-2021-24146  MEC  Information Disclosure