본문내용 바로가기 메인메뉴 바로가기 푸터 바로가기

취약점 정보

CVE-2021-26630 | HANDY Groupware 파일 다운로드 및 실행 취약점2022.05.19
□ 개요
o 핸디소프트社 HANDY Groupware의 ActiveX 모듈(HandySoft HShell FileStream Class)에서 인자 값 검증이 없어 사용자가 조작된 페이지 접속 시 원격으로 파일 다운로드 및 실행 가능
핸디소프트社 HANDY Groupware의 ActiveX 모듈(HandySoft HShell FileStream Class)에서 인자 값 검증이 없어 사용자가 조작된 페이지 접속 시 원격으로 파일 다운로드 및 실행 가능
취약점 종류 영향 심각도 CVSS 점수 CVE-ID
부적절한 입력 검증 임의 파일 다운로드, 실행 High 7.8 CVE-2021-26630
 
□ 설명
o HANDY Groupware의 ActiveX 모듈이 함수를 통해 사용자 인자 값을 전달받는 과정에서 인자 값에 대한 검증을 하지 않아 발생하는 취약점
o 공격자가 함수의 인자로 파일 실행 경로나 파일 다운로드 경로 등을 작성하면 원격에서 파일을 다운로드하거나 실행할 수 있게 됨

□ 영향받는 제품 및 버전
영향받는 제품 및 버전
제품 영향 받는 버전 환경
HANDY Groupware 1.7.4.6 및 이전 버전 윈도우
2.0.3.6 및 이전 버전
4.0.1.7 및 이전 버전
 
□ 해결 방안
o 취약한 버전의 제품 이용자는 HANDY Groupware 버전 1.7.4.7 / 2.0.3.7 / 4.0.1.8 이상으로 설치

□ 참고
o https://www.handysoft.co.kr/product/product.html?seq=12

□ 기타
o 취약점 KrCERT 홈페이지를 통해 김희현님께서 제공해주셨습니다.


□ 작성 : 침해사고분석단 취약점분석팀