Home > 전체기사
투비소프트 NEXACRO14/17 ExtCommonApiV13와 라온위즈 K Upload 취약점 발견! 패치 필수
  |  입력 : 2020-07-06 01:29
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
투비소프트 NEXACRO14/17 ExtCommonApiV13 라이브러리, 임의 코드 실행 취약점 발견
라온위즈 RAON K Upload, 확장자 검증 미흡으로 인해 원격의 파일 다운로드 및 실행 가능


[보안뉴스 권 준 기자] 투비소프트의 NEXACRO14/17 ExtCommonApiV13 라이브러리에서의 임의코드 실행 취약점과 라온위즈의 Non-ActiveX 정부 지침을 준수한 독립 실행형(에이전트) 파일 전송 솔루션 ‘RAON K Upload’에서 파일 다운로드 취약점이 발견돼 신속한 패치가 요구되고 있다.

[이미지=utoimage]


먼저 투비소프트 NEXACRO14/17 ExtCommonApiV13 라이브러리의 취약한 API를 활용하여 임의 코드 실행이 가능한 취약점이다. 특정 API 호출 시 파일 위치에 대한 입력값 검증 미흡으로 임의 폴더에 파일을 생성이 가능하고, 사용자의 재부팅을 통해 임의 코드를 실행할 수 있는 취약점(CVE-2020-7820)과 레지스트리 경로에 대한 검증 미흡으로 임의의 레지스트리 경로에 스크립트를 등록하고, 사용자의 재부팅을 통해 임의 코드 코드를 실행할 수 있는 취약점(CVE-2020-7821)으로 구분된다.

해당 취약점은 모두 코드 실행이 가능한 임의 코드 실행 취약점으로, 심각도 High에다 CVSS 점수는 7.8이며, 취약점 넘버는 CVE-2020-7820과 CVE-2020-7821이다.

취약점에 영향 받는 버전 동작환경은 NEXACRO14/17 ExtCommonApiV13 2019.9.6 이전 버전의 Window OS 환경으로, 취약한 버전 및 동작환경 사용자의 경우 투비소프트 기술지원 홈페이지를 방문하여 2019.9.6 버전 혹은 최신 버전을 설치하면 된다. 해당 취약점은 한국인터넷진흥원이 운영하는 KrCERT 홈페이지를 통해 백정운 씨가 제공해 알려졌다.

또한, 라온위즈가 제공하는 ‘RAON K Upload’ 솔루션의 파일 다운로드 및 실행 취약점은 확장자 검증 미흡으로 인해 원격의 파일을 다운로드 및 실행할 수 있는 취약점이다.

해당 취약점은 코드 실행이 가능한 파일 다운로드 및 실행 취약점으로, 엑스플랫폼과 마찬가지로 심각도 High에다 CVSS 점수는 7.8이며, 취약점 넘버는 CVE-2020-7814이다.

취약점에 영항을 받는 제품 버전은 RAON K Upload 2018.0.2.50 이하 버전 윈도우 환경으로, 취약한 버전의 제품 이용자는 RAON K Upload 제품을 2018.0.2.51 이상으로 설치하면 된다.

해당 취약점에 대한 보다 자세한 사항은 한국인터넷진흥원 침해사고분석단 취약점분석팀으로 문의하면 된다.
[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)