본문내용 바로가기 메인메뉴 바로가기 푸터 바로가기

취약점 정보

CVE-2021-26633 | 맥스보드 SQL injection 및 LFI 취약점2022.05.30
□ 개요
o 맥스보드에서 발생하는 SQL injection, Local File Injection 취약점으로 인해 서버 내의 주요 정보를 탈취하고 관리자 계정으로 로그인 가능
맥스보드에서 발생하는 SQL injection, Local File Injection 취약점으로 인해 서버 내의 주요 정보를 탈취하고 관리자 계정으로 로그인 가능
취약점 종류 영향 심각도 CVSS 점수 CVE-ID
SQL injection 및 LFI 정보 노출 및 권한 상승 High 7.5 CVE-2021-26633
 
□ 설명
o 공격자는 SQL injection 취약점을 이용, 변수를 원하는 값으로 조작하여 임의의 html 파일 등을 삽입함으로써 관리자 정보 유출, 권한 상승 등의 다양한 공격 가능
o 임의 파일 삽입 시, 공격 대상 시스템에 위치한 파일을 실행하는 LFI(Local File Inclusion) 취약점 이용

□ 영향 받는 제품 및 버전
영향받는 제품 및 버전
제품 영향 받는 버전 환경
MaxBoard 1.9.3.3 및 이전 버전 리눅스
 
□ 해결 방안
o 취약한 버전의 제품 이용자는 MaxBoard 버전 1.9.4 이상으로 설치

□ 참고
o https://maxb.kr/

□ 기타
o 취약점 KrCERT 홈페이지를 통해 백승진님께서 제공해주셨습니다.


□ 작성 : 침해사고분석단 취약점분석팀