CVE-2015-2803, CVE-2015-3316

[보안뉴스 주소형] 현지 시각으로 6월 17일, 우리나라 시간으로는 대략 17일에서 18일로 넘어오는 밤 사이에 미국의 National Vulnerability Database을 통해 발표된 취약점들입니다.

1. CVE-2012-6692

워드프레스(WordPress) SEO의 js/wp-seo-metabox.js에서 발견된 XSS 취약점으로 공격자가 원격에서 wp-admin/post-new.php의 post_title 매개변수를 통해 임의의 웹 스크립트나 HTML을 주입할 수 있게 해줍니다. 이는 미리보기 기능을 제대로 실행할 수 없게 해줍니다. 

2. CVE-2015-0546

EMC UIM/P 4.1 버전에서 발견된 취약점으로 공격자가 원격에서 유효한 계정 이름을 제공함으로서 LDAP 인증을 우회할 수 있게 해줍니다.

3. CVE-2015-2665

Cacti 0.8.8d 이전 버전에서 발견된 XSS 취약점으로 공격자가 원격에서 명시되지 않은 벡터를 통해 임의의 웹 스크립트나 HTML을 주입할 수 있게 해줍니다.

4. CVE-2015-2803

TYPO3의 Akronymmanager 확장판 7.0.0 이전 버전에서 발견된 SQL 주입 취약점으로 acronyms를 유지할 수 있는 권한을 가진 사용자가 원격에서 id 매개변수를 통해 임의의 SQL 명령어를 실행할 수 있게 해줍니다. 

5. CVE-2015-3316

CA Client Automation r12.5 SP01, r12.8, r12.9 버전, CA Network 및 Systems Management r11.0, r11.1, r11.2 버전, CA Universal Job Management Agent, CA Virtual Assurance, CA Workload Automation AE r11, r11.3, r11.3.5, r11.3.6 버전에서 발견된 취약점으로 로컬 사용자가 명시되지 않은 환경 변수를 통해 특권을 얻게 해줍니다.

Copyrighted 2015. UBM-Tech. 117153:0515BC

[국제부 주소형 기자(sochu@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>