CVE-2015-4673, CVE-2016-1000307, CVE-2017-7570
CVE-2017-7577, CVE-2017-7578

[보안뉴스 문가용 기자] 현지 시각으로 4월 6일, 우리나라 시간으로는 대략 6일에서 7일로 넘어오는 밤 사이에 미국의 National Vulnerability Database을 통해 발표된 취약점들이다.


1. CVE-2015-4673
ClipBucket 2.7.0.5 버전의 XSS 취약점으로 원격에서 승인된 사용자가 1) collection_description 매개변수, 2) photo_description, 3) photo_tags, 4) photo_title의 매개변수를 통하여 임의의 웹 스크립트나 HTML을 주입할 수 있도록 해준다.

2. CVE-2016-1000307
ClipBucket 2.8.1 버전의 XSS 취약점으로 원격의 공격자가 1) profile_desc, about_me, schools, occupation, companies, hobbies, fav_movies, fav_music, fav_books, 2) note, 3) closed_msg, description, allowed_types의 매개변수를 통해 임의의 웹 스크립트나 HTML을 주입할 수 있도록 해준다. CVE-2015-4673 참고.

3. CVE-2017-7570
PivotX 2.3.11의 취약점으로 원격에서 승인된 ‘고급’ 사용자가 임의의 PHP 코드를 실행할 수 있게 해준다.

4. CVE-2017-7577
XiongMai uc-httpd의 directory traversal 취약점으로 사용자가 "GET ../" HTTP 요청을 통하여 임의의 파일을 읽어들일 수 있게 된다.

5. CVE-2017-7578
libming 0.4.7 버전의 parser.c의 힙 버퍼 오버플로우 취약점으로 원격의 공격자가 조작된 SWF 파일을 통하여 DoS 공격을 감행할 수 있도록 해준다. CVE-2016-9831의 불완전한 패치 때문에 발생한 취약점이다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>