CVE-2017-11386, CVE-2017-11387, CVE-2017-11388
CVE-2017-11389, CVE-2017-11390

[보안뉴스 문가용 기자] 현지 시각으로 8월 2일, 우리나라 시간으로는 대략 2일에서 3일로 넘어오는 밤 사이에 미국의 National Vulnerability Database을 통해 발표된 취약점들이다.


1. CVE-2017-11386
Trend Micro Control Manager 6.0의 SQL 인젝션 취약점으로 cmdHandlerNewReportScheduler.dll에는 인풋에 대한 인증 과정이 존재하지 않는다. 그래서 원격의 공격자들이 임의의 코드를 실행할 수 있도록 해준다.

2. CVE-2017-11387
Trend Micro Control Manager 6.0 버전의 Authentication Bypass 취약점으로 디버그 로깅 레벨을 변경해야 할 때 인증 평가가 이뤄지지 않는다. 이로써 정보 유출이 발생할 수 있게 된다.

3. CVE-2017-11388
Trend Micro Control Manager 6.0의 SQL 인젝션 취약점으로 RestfulServiceUtility.NET.dll는 인풋에 대한 인증 과정이 존재하지 않는다. 그래서 원격의 공격자들이 임의의 코드를 실행할 수 있도록 해준다.

4. CVE-2017-11389
Trend Micro Control Manager 6.0의 directory traversal 취약점으로 공격자들이 임의의 파일을 드롭시킬 수 있어 결국 원격 코드 실행이 가능하게 된다.

5. CVE-2017-11390
Trend Micro Control Manager 6.0의 XXE 취약점으로 정보 유출로 이어질 수 있다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>