보안 정보
-
취약점 정보 ㅣ [CVE-2020-10199] Sonatype Nexus RCE
침해사고분석팀ㅣ2021.01.15
-
취약점 정보 ㅣ [CVE-2019-11229] Gitea RCE
침해사고분석팀ㅣ2021.01.15
-
침해사고분석팀ㅣ2021.01.15
-
침해사고분석팀ㅣ2021.01.15
-
침해사고분석팀ㅣ2021.01.15
| 취약점 정보[CVE-2018-6194] WordPress Splashing Images Plugin | ||||
| 작성일 | 2018-03-30 | 조회 | 1024 | |
|---|---|---|---|---|
|
개요 WordPress 플러그인 splashing images에 크로스사이트 스크립팅 취약점이 존재한다. 해당 취약점은 wp-splashing-images/admin/partials/wp-splashing-admin-sidebar.php 부분에서 search 매개변수의 값을 제대로 초기화 하지 못해 취약점이 발생한다.
* CVE 코드: CVE-2018-6194 * 취약한 버전: wp-splashing-images plugin 2.1.1 이전 버전 * 취약점 발생 위치: admin/partials/wp-splashing-admin-sidebar.php
확인 내역 아래는 공개된 취약점 정보이다.
[그림1] POC 정보
해당 취약점의 취약한 코드는 다음과 같다. [취약한 코드]
<input type="search" id="post-search-input-splashing" name="search" value="<?php echo $_GET['search']; ?>" placeholder="<?php _e('Search unsplash.com', 'wp-splashing-images'); ?>">
[그림2] wp-splashing-admin-sidebar.php
해당 취약점의 취약한 코드는 다음과 같다. 위 POC에서 살펴보면 알 수 있듯이, 취약점이 발생하는 부분은 search 매개 변수에서 발생하는 것을 살펴 볼 수 있다. 또한, [그림2] 의 취약한 코드 부분의 동작 원리를 살펴 볼때, 공격자는 '>' 입력값을 사용하여 임의의 코드를 삽입 할 수 있다. 공격 성공 시, 임의의 코드 실행이 가능하다.
대응 방안 1. 최신 버전으로 업데이트 *다운로드
[IPS 패턴블럭]
[6003] WordPress Splashing Images Plugin XSS
[UTM]
[805351037] WordPress Splashing Images Plugin XSS
[APTX]
[3415] WordPress Splashing Images Plugin XSS
참조
|
||||
| 첨부파일 | 첨부파일이 없습니다. | |||
|
||||
| 태그 | CVE-2018-6194 WordPress Splashing Images Plugin XSS | |||
