[CVE-2020-29395] WordPress EventON Calendar XSS 침해사고분석팀 2020.12.11 |
|
WordPress EventON Calendar 플러그인에 XSS(Crose Site Scripting) 취약점이 존재합니다. EventON Calendar 플러그인은 사용자 정의 가능한 반복 이벤트, 무제한 이벤트 생성, 다양한 캘린더 레이아웃 디자인 등 이벤트 캘린더와 관련된 200여개의 고급 기능이 존재하는 이벤트 캘린더 플러그인입니다.
NVD - CVE-2020-29395 CVSS v3.0 Severity and Metrics: Base Score: 4.3 MEDIUM
[그림1. NVD 내역]
해당 취약점은 addons 탭의 q 매개 변수에 대한 부족한 입력 유효성 검사로 인해 발생합니다.
[그림2. ADDONS 탭 화면]
공격 분석
CVE-2020-29395의 공격 패킷은 다음과 같습니다.
[그림3. 공격 패킷]
[그림4. 공격 성공 (데모사이트) ]
취약점 대응 방안
1. 최신 버전 사용
2. WINS Sniper 제품 군 대응 방안
WordPress Plugin EventON Calendar addons XSS
|