Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
취약점 정보[CVE-2021-22658] Advantech iView SQL Injection
작성일 2021-03-05 조회 78

 

Advantech Authorized Distributor | Avnet Asia Pacific

 

 

Advantech iView SQL Injection 취약점이 존재합니다.

 

Advantech iView는 지능형 FTTx, 광학 액세스 및 미디어 변환 솔루션과 함께 무료로 제공되는 단순 네트워크 관리 프로토콜 기반 요소 관리 소프트웨어로웹 기반 응용 프로그램으로 설계되었습니다.

 

해당 취약점은 /iView3/CommandServlet경로에서 page_action_service가 UserServlet으로 설정되어있을 때 user_name 파라미터에 대한 사용자 입력값을 제대로 검사하지 못해 발생합니다. 원격의 공격자는 조작된 요청을 타깃 서버에 전송해 공격할 수 있습니다.

 

공격 성공 시, 정보 유출 또는 인증 우회가 발생될 수 있습니다.

 

 

 

취약점 설명

 

NVD - CVE-2021-22658

CVSS v2.0 Severity and Metrics:

Base Score: 7.5 HIGH

 

 

[그림1. NVD 내역]

 

 

 

취약점 분석

 

해당 취약점은 /iView3/CommandServlet경로에서 page_action_service가 UserServlet으로 설정되어있을 때 user_name 파라미터에 대한 사용자 입력값을 제대로 검사하지 못해 발생합니다.

 

/iView3/CommandServlet경로 뿐만아니라 /iView3/UserServlet경로에서도 발생가능합니다.

 

취약한 버전은 5.7.03.6112 이전버전으로 패치된 새로운 버전으로 업데이트를 권장합니다.

 

 

 

공격 분석 및 테스트

 

CVE-2021-22658의 공격 패킷은 다음과 같습니다.

 

 

[그림2. 취약한 부분]

 

 

 

취약점 대응 방안

 

1. 최신 버전 사용

 

해당 벤더사에서 발표한 최신의 버전으로 업데이트한다.

 

https://www.advantech.com/support/details/firmware?id=1-HIPU-183

 

 

 

2. WINS Sniper 제품군 대응 방안

 

[5361] Advantech iView CommandServlet user_name SQL Injection

 

첨부파일 첨부파일이 없습니다.
태그 CVE-2021-22658  Advantech iView  SQL Injecton