728x90
반응형
목차
CVE(Common Vulnerabilities and Exposures)
NVD(National Vulnerability Database)
- CVSS(Common Weakness Enumeration)
CWE(Common Weakness Enumeration)

e.g., CVE-2022-1009 / CVE-2023-1009

CVE (Common Vulnerabilities and Exposures)

https://www.cve.org/

공통 취약성 및 노출

MITRE에서 관리하는 공개된 취약점 및 노출 목록


1) CVE-2022-1009 - https://www.cve.org/CVERecord?id=CVE-2022-1009

설명: 악의적인 사전 설정 구성을 업로드할 때 관리 페이지에 다시 출력하기 전에 구성 매개변수를 삭제하고 반환하지 않음 → Reflected Cross-Site Scripting 발생 가능성(공격자가 admin 계정으로 악성 구성 파일을 업로드 해야 함)

제품: 3.9.9 이전의 Smush WordPress 플러그인 / Smush - Lazy Load Images, Optimize & Compress Images

생성 날짜: (Published/Updated) 2022-05-30

피해규모: 중간(NVD 참조)

참조https://wpscan.com/vulnerability/bb5af08f-bb19-46a1-a7ac-8381f428c11e

 

2) CVE-2023-1009 - https://www.cve.org/CVERecord?id=CVE-2023-1009

설명: /cgi-bin/mainfunction.cgi 파일의 sub_1DF14 함수가 영향을 받음, /../etc/password 입력으로 인수 옵션을 조작하여 경로 순회가 발생(로컬 네트워크 내에 공격이 이루어짐)

악의적인 사전 설정 구성을 업로드할 때 관리 페이지에 다시 출력하기 전에 구성 매개변수를 삭제하고 반환하지 않음 → Reflected Cross-Site Scripting 발생 가능성(공격자가 admin 계정으로 악성 구성 파일을 업로드 해야 함)

제품: DrayTek Vigor 2960 1.5.1.4 / Vigor 2960

생성 날짜: (Published/Updated) 2023-02-24

피해규모: 중간-낮음(NVD 참조)

참조: https://vuldb.com/?id.221742


NVD (National Vulnerability Database) (CVSS 포함)

https://nvd.nist.gov/

SCAP(Security Content Automation Protocol) 기반 표준 형태의 취약점 관리 용 미 정부 저장소

CVSS(Common Vulnerability Scoring System)으로 취약점 평가

* CVSS: 취약점 지표, 소프트웨어 취약점의 특성 및 피해 심각도를 표현하기 위한 개방형 프레임워크


1) CVE-2022-1009 - https://nvd.nist.gov/vuln/detail/CVE-2022-1009

설명/참조 동일(CVE)

심각성: 6.1(MEDIUM) - CVSS v3.0 Ratings / 4.3(MEDIUM) – CVSS v2.0 Ratings

 

2) CVE-2023-1009 - https://nvd.nist.gov/vuln/detail/CVE-2023-1009

설명/참조 동일(CVE)

심각성: 5.5(MEDIUM) - CVSS v3.0 Ratings / N/A – CVSS v2.0 Ratings


CWE (Common Weakness Enumeration)

https://cwe.mitre.org/

community-developed list of software and hardware weakness types

한 기관에서 개발한 것이 아님


1) CVE-2022-1009(CWE-79) - https://cwe.mitre.org/data/definitions/79.html

설명: 웹 페이지 생성 중 제어할 수 있는 입력을 무효화시킴(Cross-site Scripting)

세부 설명: XSS 취약점이 발생하는 경우 및 종류 설명

Reflected XSS (or Non-Persistent) Stored XSS (or Persistent) DOM-Based XSS

악용 가능성: High

 

2) CVE-2023-1009(CWE-22) - https://cwe.mitre.org/data/definitions/22.html

설명: 제한된 디렉토리에 대해 경로 이름을 부적절하게 제한함/순회(Path Traversal)

세부 설명: 파일 작업은 제한된 디렉토리 내에서 발생하도록 되어 있으며, “..” “/”과 같은 특수 구분 기호를 이용하여 공격자는 제한된 위치의 외부 경로로 이동하여 다른 위치의 파일 또는 디렉터리에 액세스할 수 있음

“../”: 현재 위치의 상위 디렉터리 상대경로 순회

“/usr/local/bin”: 파일 액세스 절대 경로 순회

악용 가능성: High

 

728x90
728x90

+ Recent posts