보안 정보
-
침해사고분석팀ㅣ2021.04.12
-
침해사고분석팀ㅣ2021.04.12
-
보안 동향 ㅣ IcedID 멀웨어, 기업 연락 양식으로 퍼진다
침해사고분석팀ㅣ2021.04.12
-
침해사고분석팀ㅣ2021.04.09
-
침해사고분석팀ㅣ2021.04.09
| 취약점 정보[CVE-2021-22658] Advantech iView SQL Injection | ||||
| 작성일 | 2021-03-05 | 조회 | 78 | |
|---|---|---|---|---|
|
Advantech iView에 SQL Injection 취약점이 존재합니다.
Advantech iView는 지능형 FTTx, 광학 액세스 및 미디어 변환 솔루션과 함께 무료로 제공되는 단순 네트워크 관리 프로토콜 기반 요소 관리 소프트웨어로, 웹 기반 응용 프로그램으로 설계되었습니다.
해당 취약점은 /iView3/CommandServlet경로에서 page_action_service가 UserServlet으로 설정되어있을 때 user_name 파라미터에 대한 사용자 입력값을 제대로 검사하지 못해 발생합니다. 원격의 공격자는 조작된 요청을 타깃 서버에 전송해 공격할 수 있습니다.
공격 성공 시, 정보 유출 또는 인증 우회가 발생될 수 있습니다.
취약점 설명
NVD - CVE-2021-22658 CVSS v2.0 Severity and Metrics: Base Score: 7.5 HIGH
[그림1. NVD 내역]
취약점 분석
해당 취약점은 /iView3/CommandServlet경로에서 page_action_service가 UserServlet으로 설정되어있을 때 user_name 파라미터에 대한 사용자 입력값을 제대로 검사하지 못해 발생합니다.
/iView3/CommandServlet경로 뿐만아니라 /iView3/UserServlet경로에서도 발생가능합니다.
취약한 버전은 5.7.03.6112 이전버전으로 패치된 새로운 버전으로 업데이트를 권장합니다.
공격 분석 및 테스트
CVE-2021-22658의 공격 패킷은 다음과 같습니다.
[그림2. 취약한 부분]
취약점 대응 방안
1. 최신 버전 사용
2. WINS Sniper 제품군 대응 방안
[5361] Advantech iView CommandServlet user_name SQL Injection
|
||||
| 첨부파일 | 첨부파일이 없습니다. | |||
|
||||
| 태그 | CVE-2021-22658 Advantech iView SQL Injecton | |||
