본문내용 바로가기 메인메뉴 바로가기 푸터 바로가기

취약점 정보
CVE-2021-26637 | SiHAS 불충분한 인증 취약점2022.06.22
□ 개요
o SiHAS社 제품군 SGW-300,ACM-300,GCM-300의 펌웨어 및 시하스 기존 앱에서 발생하는 불충분한 인증 취약점
SiHAS社 제품군 SGW-300,ACM-300,GCM-300의 펌웨어 및 시하스 기존 앱에서 발생하는 불충분한 인증 취약점
취약점 종류 영향 심각도 CVSS 점수 CVE-ID
불충분한 인증 정보 누출 및 원격 제어 High 8.8 CVE-2021-26637
 
□ 설명
 o SiHAS社 제품군 SGW-300,ACM-300,GCM-300의 펌웨어 및 구 버전 앱에서 계정 인증 및 권한 체크 로직이 없어, 인증되지 않은 사용자가 디바이스 원격 제어 가능

□ 영향 받는 제품 및 버전
영향받는 제품 및 버전
제품 영향 받는 버전 환경
SiHAS 펌웨어 / 구앱 1.xx / 구앱 안드로이드, iOS
 
□ 해결 방안
o 취약한 버전의 제품 이용자는 제품 펌웨어 버전 2.xx 이상으로 업데이트 및 시하스 뉴앱 설치

□ 참고
o https://sihas.co.kr/
o https://play.google.com/store/apps/details?id=com.sihas_new_app&hl=en_KR&gl=kr
o https://apps.apple.com/tc/app/id1582092249

□ 기타
o 취약점 KrCERT 홈페이지를 통해 최심현님께서 제공해주셨습니다.


□ 작성 : 침해사고분석단 취약점분석팀