CVE-2012-4901, CVE-2012-4902

[보안뉴스 주소형] 현지 시각으로 5월 20일, 우리나라 시간으로는 대략 20일에서 21일로 넘어오는 밤 사이에 미국의 National Vulnerability Database을 통해 발표된 취약점들입니다.

1. CVE-2012-1664

admin panel 및 osCMax 2.5.1 이전버전에서 발견된 다수의 XSS 취약점으로 공격자가 원격에서 1) admin/login.php의 프로세스 행위에서 username 매개변수, 2) pageTitle, 3) current_product_id, 4) admin/new_attributes_include.php의 cPath 매개변수, 5) sb_id, 6) sb_key, 7) gc_id, 8) gc_key, 9) admin/htaccess.php의 path 매개변수, 10) admin/information_form.php의 title 매개변수, 11) admin/xsell.php의 search 매개변수, 12) gross, 13) admin/stats_products_purchased.php의 max 매개변수, 14) admin/stats_monthly_sales.php의 status 매개변수, 15) admin/stats_customers.php의 sorted 매개변수, 16) /admin/information_manager.php의 information_id 매개변수, 17)  /admin/geo_zones.php의 zID 매개변수를 통해 임의의 웹 스크립트나 HTML를 주입할 수 있게 해줍니다.

2. CVE-2012-1665

admin panel 및 osCMax 2.5.1 이전버전에서 발견된 다수의 SQL 취약점으로 공격자가 원격에서 1) admin/login.php의 프로세스 행위에서 username 매개변수, 2)  admin/stats_monthly_sales.php의 status 매개변수, 3)  admin/create_account_process.php의 프로세스 행위에서 country 매개변수를 통해 임의의 SQL 명령어를 실행할 수 있게 해줍니다.

3. CVE-2012-3243

Magento의 SEOgento plugin에서 발견된 XSS 취약점으로 공격자가 원격에서 id 매개변수를 통해 임의의 웹 스크립트나 HTML를 삽입할 수 있게 해줍니다.

4. CVE-2012-4901

Template CMS 2.1.1 이전버전에서 발견된 XSS 취약점으로 공격자가 원격에서 admin/index.php의 add_template 행위에서 themes_editor 매개변수를 통해 임의의 웹 스크립트나 HTML을 삽입할 수 있게 해줍니다.

5. CVE-2012-4902

Template CMS 2.1.1 이전버전에서 발견된 CSRF 취약점으로 공격자가 원격에서 1) admin/index.php에서 행위 추가를 통해 관리자 창조, 2) admin/index.php의 edit_template 행위에서 themes_editor 매개변수를 통해 static PHP code 삽입공격 실행을 통해 관리자 인증 권한을 납치 가능하도록 합니다.

Copyrighted 2015. UBM-Tech. 117153:0515BC

[국제부 주소형 기자(sochu@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>