[5.21 버그리포트] CVE-2012-1664 外

CVE-2012-1664, CVE-2012-1665, CVE-2012-3243

CVE-2012-4901, CVE-2012-4902

[보안뉴스 주소형] 현지 시각으로 5월 20일, 우리나라 시간으로는 대략 20일에서 21일로 넘어오는 밤 사이에 미국의 National Vulnerability Database을 통해 발표된 취약점들입니다.

1. CVE-2012-1664

admin panel 및 osCMax 2.5.1 이전버전에서 발견된 다수의 XSS 취약점으로 공격자가 원격에서 1) admin/login.php의 프로세스 행위에서 username 매개변수, 2) pageTitle, 3) current_product_id, 4) admin/new_attributes_include.php의 cPath 매개변수, 5) sb_id, 6) sb_key, 7) gc_id, 8) gc_key, 9) admin/htaccess.php의 path 매개변수, 10) admin/information_form.php의 title 매개변수, 11) admin/xsell.php의 search 매개변수, 12) gross, 13) admin/stats_products_purchased.php의 max 매개변수, 14) admin/stats_monthly_sales.php의 status 매개변수, 15) admin/stats_customers.php의 sorted 매개변수, 16) /admin/information_manager.php의 information_id 매개변수, 17) /admin/geo_zones.php의 zID 매개변수를 통해 임의의 웹 스크립트나 HTML를 주입할 수 있게 해줍니다.

2. CVE-2012-1665

admin panel 및 osCMax 2.5.1 이전버전에서 발견된 다수의 SQL 취약점으로 공격자가 원격에서 1) admin/login.php의 프로세스 행위에서 username 매개변수, 2) admin/stats_monthly_sales.php의 status 매개변수, 3) admin/create_account_process.php의 프로세스 행위에서 country 매개변수를 통해 임의의 SQL 명령어를 실행할 수 있게 해줍니다.

3. CVE-2012-3243

Magento의 SEOgento plugin에서 발견된 XSS 취약점으로 공격자가 원격에서 id 매개변수를 통해 임의의 웹 스크립트나 HTML를 삽입할 수 있게 해줍니다.

4. CVE-2012-4901

Template CMS 2.1.1 이전버전에서 발견된 XSS 취약점으로 공격자가 원격에서 admin/index.php의 add_template 행위에서 themes_editor 매개변수를 통해 임의의 웹 스크립트나 HTML을 삽입할 수 있게 해줍니다.

5. CVE-2012-4902

Template CMS 2.1.1 이전버전에서 발견된 CSRF 취약점으로 공격자가 원격에서 1) admin/index.php에서 행위 추가를 통해 관리자 창조, 2) admin/index.php의 edit_template 행위에서 themes_editor 매개변수를 통해 static PHP code 삽입공격 실행을 통해 관리자 인증 권한을 납치 가능하도록 합니다.

Copyrighted 2015. UBM-Tech. 117153:0515BC

[국제부 주소형 기자(sochu@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)