CVE-2017-7689, CVE-2017-7691, CVE-2017-7694
CVE-2017-7695, CVE-2017-7697

[보안뉴스 문가용 기자] 현지 시각으로 4월 11일, 우리나라 시간으로는 대략 11일에서 12일로 넘어오는 밤 사이에 미국의 National Vulnerability Database을 통해 발표된 취약점들이다.


1. CVE-2017-7689
Schneider Electric homeLYnk Controller 1.5.0 이전 버전의 명령어 주입 취약점이다.

2. CVE-2017-7691
SAP TREX / Business Warehouse Accelerator(BWA)의 코드 주입 취약점으로, SAP Security Note 2419592와 동일하다.

3. CVE-2017-7694
Symphony CMS 2.6.11까지 버전의 symphony/content/content.blueprintsdatasources.php의 원격 코드 실행 취약점으로 원격의 공격자들이 임의의 코드를 실행해 백엔드로부터 웹쉘을 취득할 수 있게 해준다.

4. CVE-2017-7695
BigTree CMS 4.2.17 이전 버전의 무제한 파일 업로드 취약점으로 공격자가 xxx.php 파일을 업로드함으로써 보안 매커니즘을 우회하고 임의의 코드를 실행시킬 수 있게 해준다.

5. CVE-2017-7697
libsamplerate 1.0.9 이전 버전의 src_sinc.c의 calc_output_single 함수의 버퍼 오버리드 취약점으로, 조작된 오디오 파일을 통해 DoS 공격을 감행할 수 있게 해준다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>