본문내용 바로가기 메인메뉴 바로가기 푸터 바로가기

취약점 정보

CVE-2021-26634 | 맥스보드 다중 취약점2022.05.30
□ 개요
o 맥스보드에서 사용자 입력 값과 파일 확장자 검증 미흡으로 인해 발생하는 SQL injection, 인증 우회, 파일 업로드 등 다중 취약점
맥스보드에서 사용자 입력 값과 파일 확장자 검증 미흡으로 인해 발생하는 SQL injection, 인증 우회, 파일 업로드 등 다중 취약점
취약점 종류 영향 심각도 CVSS 점수 CVE-ID
SQL injection,
인증 우회, 파일 업로드
임의 코드 실행,
웹쉘 업로드, 권한 상승
Critial 9.8 CVE-2021-26634
 
□ 설명
 o 맥스보드를 구성하는 파일들의 일부 파라미터, 변수에서 입력 값 검증 미흡으로 인해 SQL injection, 파일 업로드 공격이 가능하며, 이는 임의 코드 실행이나 권한 상승으로 이어질 수 있음
 o 공격자는 이러한 여러 가지 취약점을 이용해 웹쉘을 이용한 서버 관리 권한 탈취 등의 공격을 수행할 수 있음.

□ 영향 받는 제품 및 버전
영향받는 제품 및 버전
제품 영향 받는 버전 환경
MaxBoard 1.9.5.1 및 이전 버전 리눅스
 
□ 해결 방안
o 취약한 버전의 제품 이용자는 MaxBoard 버전 1.9.6 이상으로 설치

□ 참고
o https://maxb.kr/

□ 기타
o 취약점 KrCERT 홈페이지를 통해 백승진님께서 제공해주셨습니다.


□ 작성 : 침해사고분석단 취약점분석팀