CVE-2016-5901, CVE-2016-5983, CVE-2016-6419
CVE-2016-6420, CVE-2016-8343

[보안뉴스 문가용 기자] 현지 시각으로 10월 5일, 우리나라 시간으로는 대략 5일에서 6일로 넘어오는 밤 사이에 미국의 National Vulnerability Database을 통해 발표된 취약점들이다.

1. CVE-2016-5901
IBM Business Process Manager Advanced 8.5.6.0~8.5.7.0 버전의 XSS 취약점으로 원격에서 승인된 사용자가 임의의 웹 스크립트와 HTML을 주입할 수 있도록 해준다.

2. CVE-2016-5983
IBM WebSphere Application Server(WAS) 7.0.0.43 이전의 7.0 버전, 8.0.0.13 이전의 8.0 버전, 8.5.5.11 이전의 8.5 버전, 9.0.0.2 이전의 9.0 버전과 Liberty 16.0.0.4 이전 버전의 취약점으로 원격에서 승인된 사용자가 임의의 자바 코드를 실행할 수 있도록 해준다.

3. CVE-2016-6419
Cisco Firepower Management Center 4.10.3~5.4.0 버전의 SQL 주입 취약점으로 원격에서 승인된 사용자가 임의의 SQL 명령을 실행할 수 있도록 해준다. Bug ID CSCur25485와 동일하다.

4. CVE-2016-6420
Firepower Management Center의 Cisco FireSIGHT System Software 4.10.3~5.4.0 버전의 취약점으로 원격에서 승인된 사용자가 인증 확인을 우회해 권한을 취득할 수 있도록 해준다. Bug ID CSCur25467과 동일하다.

5. CVE-2016-8343
INDAS Web SCADA 3 이전 버전의 directory traversal 취약점으로 원격의 공격자가 임의의 파일을 읽을 수 있도록 해준다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>