본문내용 바로가기 메인메뉴 바로가기 푸터 바로가기

취약점 정보

CVE-2021-26625 | 투비소프트 Nexacro 임의 파일 다운로드 취약점2022.04.19
□ 개요
o 투비소프트社의 NEXACRO 17에서 런타임 엔진을 최신 버전으로 유지하기 위한 자동 업데이트 기능에 있어 엔진 설치 파일의 버전 이외에 다른 검증 장치가 없어 이를 이용해 임의 파일을 다운로드하고 실행할 수 있는 취약점
투비소프트社의 NEXACRO 17에서 런타임 엔진을 최신 버전으로 유지하기 위한 자동 업데이트 기능에 있어 엔진 설치 파일의 버전 이외에 다른 검증 장치가 없어 이를 이용해 임의 파일을 다운로드하고 실행할 수 있는 취약점
취약점 종류 영향 심각도 CVSS 점수 CVE-ID
불충분한 검증 임의 파일 다운로드, 실행 High 8.8 CVE-2021-26625
 
□ 설명
o NEXACRO 17은 런타임 엔진을 최신 버전으로 유지하기 위해 자동 업데이트 기능을 제공하며, 자동 업데이트는 서버에서 엔진 설치 파일을 다운로드하고 실행하는 형태로 진행
o 런타임 엔진 업데이트와 관련된 정보는 서버에 저장된 start.json 파일의 resource 섹션에 있으며, 런타임 엔진 업데이트 파일경로와 버전 값이 사용자의 환경과 일치할 경우 NEXACRO 17이 실행되었을 때 start.json 파일을 확인하고, 현재 시스템에 설치된 런타임 엔진의 버전과 비교한 뒤 최신 버전이 아니면 런타임 엔진 업데이트 파일을 다운로드하고 실행
o 이러한 검증 로직의 미흡함을 이용해 버전 값 변조만으로 파일 다운로드 작업을 실행시킬 수 있으며, 다운로드 받은 파일의 실행 또한 가능

□ 영향받는 제품 및 버전
영향받는 제품 및 버전
제품 영향 받는 버전 환경
Nexacro 17 17.1.2.600 및 이전 버전 윈도우
 
□ 해결 방안
o 취약한 버전의 제품 이용자는 Nexacro 버전 17.1.3.700 이상으로 설치

□ 참고
o https://www.tobesoft.com/product/Nexacro.do

□ 기타
o 취약점 KrCERT 홈페이지를 통해 백정운님께서 제공해주셨습니다.


□ 작성 : 침해사고분석단 취약점분석팀