보안정보

글로벌 정보보안 리더 윈스
IceWrap CVE-2020-27982

[CVE-2020-27982] IceWrap WebMail language XSS

침해사고분석팀 2020.12.18

 

 

 

IceWrap WebMail 서버에 크로스 사이트 스크립트(XSS) 취약점이 존재합니다.


IceWrap 메일 솔루션은 모든 이메일 프로토콜을 통해 메일을 보낼 수 있고, 웹메일을 통해 연락처와 일정 관리, 팀 채팅 등의 모든 기능을 동시에 이용할 수 있는 비즈니스 메일 서버입니다.


해당 취약점은 language 매개 변수의 입력값 유효성 검사 부재로 인해 발생합니다. 원격의 공격자는 악의적으로 조작된 요청을 전송하여 공격할 수 있습니다.


공격 성공 시, 임의의 코드가 실행될 수 있습니다. 

 

 

 

취약점 설명

 

NVD - CVE-2020-27082

CVSS v2.0 Severity and Metrics:

Base Score: 4.3 MEDIUM

 

 

[그림1. NVD 내역]

 

 

 

취약점 분석

 

해당 취약점은 URI에 아래와 같은 값이 올 때, language 매개 변수에 대한 부족한 입력 유효성 검사로 인해 임의의 스크립트 코드가 실행될 수 있습니다.

 

[그림2.  예시]

 

취약한 버전은 IceWrap Mail Server 11.4.5.0 버전입니다. 


현재 13버전까지 업데이트가 되어 있어, 최신 버전을 사용하여야 합니다.

 

 

 

공격 분석 및 테스트

 

CVE-2020-27983의 공격 패킷은 다음과 같습니다.

 

 

[그림3. language 매개 변수에 대한 공격 패킷]

 

 

[그림4. 공격 성공 시]

 

 

 

 

취약점 대응 방안

 

1. 최신 버전 사용

 

http://www.icewarp.co.kr/download.asp

 

 

2. WINS Sniper 제품군 대응 방안

 

IceWrap WebMail language XSS

 
목록