CVE-2018-3814, CVE-2017-18015, CVE-2017-9964
CVE-2017-9965, CVE-2017-9966

[보안뉴스 문가용 기자] 현지 시각으로 1월 1일, 우리나라 시간으로는 대략 1일에서 2일로 넘어오는 밤 사이에 미국의 National Vulnerability Database을 통해 발표된 취약점들이다.


1. CVE-2018-3814
Craft CMS 2.6.3000 버전의 취약점으로 원격의 공격자가 Assets->Upload files 화면과 Replace it 옵션을 활용해 임의의 PHP 코드를 실행할 수 있도록 해준다.

2. CVE-2017-18015
워드프레스용 ILLID Share This Image 플러그인 1.04 이전 버전의 sharer.php url 매개변수의 XSS 취약점이다.

3. CVE-2017-9964
Schneider Electric Pelco VideoXpert Enterprise 2.1 이전 모든 버전의 Path Traversal 취약점으로, 인증 받지 못한 사용자나 공격자가 통신을 스니핑하여 세션 하이재킹이나 인증 과정 우회 등의 공격을 실시할 수 있다.

4. CVE-2017-9965
Schneider Electric Pelco VideoXpert Enterprise 2.1 이전 모든 버전의 Path Traversal 취약점으로 인증 받지 못한 사용자나 공격자가 웹 서버 파일을 열람할 수 있게 된다.

5. CVE-2017-9966
Schneider Electric Pelco VideoXpert Enterprise 2.1 이전 모든 버전의 Improper Access Control 취약점으로 특정 파일들을 바꿔치기 하면 인증 받지 못한 사용자나 공격자가 시스템 권한을 취득할 수 있게 된다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>