Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
취약점 정보[CVE-2019-9053] CMS Made Simple SQL Injection
작성일 2021-04-09 조회 60

 

 

CMS Made Simple에 SQL Injection 취약점이 존재합니다.

 

해당 취약점은 /moduleinterface.php 경로의 m1_idlist 파라미터를 제대로 검사하지 않아 발생한다. 원격의 공격자는 악의적으로 조작된 HTTP 요청을 전송해 공격할 수 있습니다.

 

공격 성공 시, 정보 유출이 발생될 수 있습니다.

 

 

 

취약점 설명

 

NVD - CVE-2019-9053

CVSS v2.0 Severity and Metrics:

Base Score: 6.8 MEDIUM

 

 

[그림1. NVD 내역]

 

 

 

취약점 분석

 

해당 취약점은 /moduleinterface.php 경로의 m1_idlist 파라미터의 값을 계속 바뀌가며 요청을 전송해 데이터베이스의 사용자 이름, 비밀번호, 이메일 등의 정보를 탈취할 수 있습니다.

 

취약한 버전은 CMS Made Simple 2.2.10 이전 버전입니다.

 

 

 

공격 분석 및 테스트

 

CVE-2019-9053의 공격 패킷은 다음과 같습니다.

 

 

[그림2. 공격 패킷]

 

 

 

취약점 대응 방안

 

1. 최신 버전 사용

 

해당 벤더사에서 발표한 최신의 버전으로 업데이트한다.

 

https://www.cmsmadesimple.org/downloads/cmsms/

 

 

2. WINS Sniper 제품군 대응 방안

 

[6087] CMS Made Simple moduleinterface.php m1_idlist SQL Injection

 

첨부파일 첨부파일이 없습니다.
태그 CVE-2019-9053  CMS Made Simple  SQL Injection