본문내용 바로가기 메인메뉴 바로가기 푸터 바로가기

취약점 정보

CVE-2021-26628 | 맥스보드 XSS 및 파일 업로드 취약점2022.04.26
□ 개요
o 맥스보드 CMS 솔루션의 관리자 페이지에서 발생하는 크로스 사이트 스크립팅 및 파일 업로드 취약점으로 권한이 없는 공격자가 관리자 권한을 탈취하여 웹쉘 업로드가 가능한 취약점
맥스보드 CMS 솔루션의 관리자 페이지에서 발생하는 크로스 사이트 스크립팅 및 파일 업로드 취약점으로 권한이 없는 공격자가 관리자 권한을 탈취하여 웹쉘 업로드가 가능한 취약점
취약점 종류 영향 심각도 CVSS 점수 CVE-ID
XSS 및 파일 업로드 원격 코드 실행,
관리자 권한 탈취
High 8.8 CVE-2021-26628
 
□ 설명
o 메인 페이지에서 스크립트에 대한 검증이 미흡하여 권한 없는 사용자가 임의의 스크립트를 삽입 및 실행함으로써 관리자 권한 탈취 가능
o [옵션 관리]-[팝업 관리]에서 이미지 파일 업로드 시, 파일에 대한 검증이 미흡하여 웹쉘 파일과 같은 임의 파일을 이미지 파일로 위장하여 업로드 가능

□ 영향받는 제품 및 버전
영향받는 제품 및 버전
제품 영향 받는 버전 환경
MaxBoard 1.9.6 및 이전 버전 리눅스
 
□ 해결 방안
o 취약한 버전의 제품 이용자는 MaxBoard 버전 1.9.6.1 이상으로 설치

□ 참고
o https://maxb.kr/

□ 기타
o 취약점 KrCERT 홈페이지를 통해 송인봉님께서 제공해주셨습니다.


□ 작성 : 침해사고분석단 취약점분석팀