|
[CVE-2020-15364] WordPress Theme NexosReal XSS 침해사고분석팀 2020.12.04 |
|
|
WordPress Nexos-Real Estate 테마에 크로스 사이트 스크립팅(XSS) 취약점이 존재합니다.
해당 취약점은 top-map의 search_location 매개변수에 대한 유효성 검사가 불충분하여 발생하게 됩니다. 원격의 공격자는 악의적으로 조작된 요청을 전송하여 공격 할 수 있습니다.
공격 성공 시, 임의의 코드가 실행될 수 있습니다.
취약점 설명
NVD - CVE-2020-15364 CVSS v2.0 Severity and Metrics: Base Score: 4.3 MEDIUM
[그림1. NVD 내역]
취약점 분석
Nexos-Real Estate 테마는 부동산 포털 스크립트로 모바일 버전도 존재하는 WordPress 유료 테마 입니다.
[그림2. Nexos 테마 메인 화면]
취약점은 search_location 매개변수의 값을 제대로 검증하지 않아 발생하게 됩니다.
Nexos 테마 1.0 버전부터 1.7 버전까지 취약합니다.
공격 분석
CVE-2020-15364의 공격 패킷은 다음과 같습니다.
[그림3. 공격 패킷]
취약점 대응 방안
1. 최신 버전 사용
해당 벤더사의 홈페이지를 참고하여 최신의 버전으로 업데이트 합니다.
2. WINS Sniper 제품군 대응 방안
WordPress Theme NexosReal search_location XSS |
