내용 요약
Tenda 라우터, PHPGurukul 시스템, Red Hat Connectivity Link, WordPress 플러그인, nbdkit 서버, RT-Thread, TRENDnet 카메라, eGauge 에너지 모니터, Zohocorp ManageEngine 제품, eCharge 충전 시스템, Redash, TP-Link 카메라, Lucky 제품, Bagisto, Papendorf SOL Connect Center, Feng Office, WuKongOpenSource WukongCRM, Whistle, code-projects 시스템, Konica Minolta bizhub, snstheme 테마, ifkooo, facturaone, AncoraThemes, BZOTheme 테마, miniOrange, PayU, pixelgrade, elfsight, appthaplugins, themeton 테마, LambertGroup 플러그인, woobewoo, redqteam, AmentoTech, Sneeit, looksawesome, gavias, WebGeniusLab, Frenify, magentech, quitenicestuff, Silverpeas, CloudClassroom, Fahad Mahmood, revmakx, moreconvert, nanbu, Icegram, RomanCode, click5, sonalsinha21, Infility, Holest Engineering, WP Event Manager, g5theme, spicethemes, relentlo, metalpriceapi, Alex Zaytseff, Crypto Cloud, MultiVendorX, ThimPress, Richard Perdaan, mystyleplatform, WP Swings, Unfoldwp 테마, Mikado-Themes 테마, Emlog, VigyBag, KeeperChat, react-native-keys, Anchor CMS, listmonk, jsnjfz, actions toolkit, Unitech, RocketChat, Metabase, libarchive, Caido, HAX CMS PHP, tarojs, CyberData, AMD Versal, SAP, TOTOLINK, Discourse, Wasp, WilderForge, Laravel Translation Manager, FastGPT, Honding Technology, TCMAN's GIM, Avaya Call Management System, inprosysmedia-likes-dislikes-post, Axle Demo Importer, Apache Kafka, Pure Storage, Autodesk, Bunny’s Print CSS, MicroDicom, Open5GS, Zend.To, Jetimob Plataforma Imobiliaria, Dell Wyse Management Suite, Adobe, react-native-keys, Vigybag, Anchor CMS, listmonk, Requests, Lablup's BackendAI, juliangruber brace-expansion, GNU PSPP, Fengoffice Feng Office, WuKongOpenSource WukongCRM, TRENDnet TV-IP121W, Papendorf SOL Connect Center, eGauge EG3000 Energy Monitor, kiCode111, Acer ControlCenter, , Pion Interceptor, DM Corporative CMS, Nozomi Networks, Ultimate Blocks, Salesforce OmniStudio, LoftOcean, WPFactory, uxper, Roland Beaussant, LambertGroup, AmentoTech, Sneeit, looksawesome, FantasticPlugins, gavias, WebGeniusLab, Frenify, magentech, quitenicestuff, Fahad Mahmood, revmakx, moreconvert, nanbu, Icegram, RomanCode, click5, sonalsinha21, Infility, Holest Engineering, g5theme, spicethemes, relentlo, metalpriceapi, Alex Zaytseff, Crypto Cloud, MultiVendorX, ThimPress, Richard Perdaan, mystyleplatform, WP Swings, Unfoldwp, Mikado-Themes, react-native-keys, Vigybag, Anchor CMS, listmonk, Requests, Lablup's BackendAI, juliangruber brace-expansion, GNU PSPP, SourceCodester, Mendix, ONLYOFFICE Docs, Ivanti Workspace Control, SolarWinds, Qt, SIMCom, Airleader, Bunny’s Print CSS, REDCap, Pure Storage, QNX SDP, TCG TPM2.0 Reference, Acer ControlCenter, Pion Interceptor, DM Corporative CMS, Nozomi Networks, Ultimate Blocks, Salesforce OmniStudio, Hikvision, Autodesk Maya, HashiCorp Nomad, IBM, Drupal, pgjdbc, ClipShare, iSTAR Configuration Utility, Motorola, Mojolicious, yangyouwang, FoxCMS, codesiddhant, UTT, szluyu99, realguoshuai, letta-ai, Wifi-soft, jflyfox, comfyanonymous, hansonwang99, javahongxi, Astun Technology, PingFederate, Crafty Controller, M-Files, Tenable, KIA-branded Aftermarket Generic Smart Keyless Entry System, Cyclone Matrix TRF Smart Keyless Entry System, SunGrow, ExtremeCloud, Dell ControlVault3, IBM, PCSX2 등 다양한 제품에서 발견된 취약점에 대한 내용입니다. 대부분의 취약점은 버퍼 오버플로우, SQL 인젝션, XSS, CSRF, 권한 상승 등 웹 애플리케이션 및 시스템에서 흔히 발생하는 유형입니다. 많은 취약점이 공개되었으며 악용될 가능성이 있으므로 해당 제품을 사용하는 사용자는 최신 버전으로 업데이트하는 것이 좋습니다.
핵심 포인트
- Tenda 라우터 제품군에서 다수의 치명적인 버퍼 오버플로우 취약점 발견.
- PHPGurukul 시스템에서 SQL 인젝션 취약점 다수 발견.
- 다양한 WordPress 플러그인 및 테마에서 XSS, CSRF, 파일 업로드, 권한 상승 등의 취약점 발견.
- Red Hat Connectivity Link의 Authorino 서비스에서 DoS 및 정보 유출 취약점 발견.
- nbdkit 서버에서 특정 클라이언트 요청으로 인한 DoS 취약점 발견.
- RT-Thread에서 메모리 손상, 배열 인덱스 검증 부족, Null 포인터 역참조 등 취약점 발견.
- 여러 제품에서 인증 우회, 권한 상승, 정보 유출 등의 취약점 발견.
- 공개된 exploit을 통해 악용될 수 있는 취약점들이 다수 존재.
- 영향받는 제품 사용자는 즉시 최신 버전으로 업데이트 필요.
기술 세부 내용
1️⃣ Tenda Router Vulnerabilities (Buffer Overflow)
- 여러 Tenda 라우터 모델(AC15, AC6, AC7, AC5)에서 HTTP POST 요청 처리 과정 중 발생하는 버퍼 오버플로우 취약점들이 발견되었습니다.
/goform/AdvSetLanip,/goform/setPptpUserList,/goform/SetRemoteWebCfg,/goform/SetRebootTimer파일의 특정 함수에서lanMask,list,remoteIp,rebootTime매개변수 조작을 통해 취약점을 악용할 수 있습니다. 공격은 원격에서 실행 가능하며, exploit이 공개되어 악용될 우려가 있습니다.
2️⃣ PHPGurukul System Vulnerabilities (SQL Injection & XSS)
- PHPGurukul의 여러 시스템(BP Monitoring Management System, Nipah Virus Testing Management System, Maid Hiring Management System)에서 SQL 인젝션 취약점이 발견되었습니다.
/registration.php,/patient-report.php,/test-details.php,/admin/search-booking-request.php파일에서emailid,searchdata,assignto매개변수 조작을 통해 공격자가 데이터베이스에 접근하거나 조작할 수 있습니다. 공격은 원격에서 실행 가능하며, exploit이 공개되어 있습니다. - Restaurant Table Booking System과 Rail Pass Management System에서 XSS 취약점 또한 발견되어, 공격자가 악의적인 스크립트를 실행시킬 수 있습니다.
3️⃣ Red Hat Connectivity Link Authorino Vulnerabilities (DoS & Information Disclosure)
- Red Hat Connectivity Link의 Authorino 서비스에서 DoS 및 정보 유출 취약점이 발견되었습니다. 개발자 권한을 가진 공격자가 과도한 콜백을 추가하여 Authorino 서비스의 DoS를 유발할 수 있습니다. 또한, AuthPolicy 메타데이터의 비밀 정보가 제대로 보호되지 않아, 공격자가 HTTP 연결을 통해 유출시킬 수 있습니다.
4️⃣ WordPress Plugin & Theme Vulnerabilities (XSS, CSRF, File Upload, etc.)
- 다양한 WordPress 플러그인과 테마에서 XSS, CSRF, 파일 업로드, 권한 상승 등 다수의 취약점이 보고되었습니다. Newsletter, Broadstreet, The Events Calendar, Elementor Website Builder Pro, Ultimate Blocks, Smash Balloon Social Post Feed, Premium Addons for Elementor, Abandoned Cart Pro for WooCommerce, RH - Real Estate WordPress Theme, Zotpress, WP-DownloadManager, WordPress Automatic Plugin, UserPro, Zagg, DIOT SCADA with MQTT, AI Image Lab, Click to Chat, StreamWeasels Kick Integration, Easy Flashcards, Zen Sticky Social, kk Youtube Video, Yougler Blogger Profile Page, XiSearch bar, WP URL Shortener, Image Resizer On The Fly, Restrict File Access, Appointment Booking Calendar, YITH WooCommerce Wishlist, Slider, Gallery, and Carousel by MetaSlider, CubeWP, Contact Us Page, Color Palette, REST API | Custom API Generator, ACF Onyx Poll, Link Shield, WP Sliding Login/Dashboard Panel, WP2HTML, Digital Marketing and Agency Templates Addons for Elementor, Telegram for WP, IndieBlocks, WP Travel Engine, Traffic Monitor, Game Review Block, Auto Attachments 등에서 취약점이 발견되었으며, 사용자는 해당 플러그인 및 테마를 최신 버전으로 업데이트해야 합니다.
5️⃣ nbdkit Server Vulnerabilities (DoS)
- nbdkit 서버에서 클라이언트의 특정 요청(매우 큰 데이터 범위 요청)을 처리하는 과정에서 내부 오류가 발생하여 DoS로 이어질 수 있는 취약점이 발견되었습니다. 'blocksize' 필터와 관련된 취약점도 보고되었습니다.
6️⃣ RT-Thread Vulnerabilities (Memory Corruption, etc.)
- RT-Thread 5.1.0에서 여러 취약점이 발견되었습니다.
rt-thread/components/lwp/lwp_syscall.c파일의sys_select,sys_sigprocmask,csys_sendto,sys_thread_sigprocmask,sys_recvfrom함수에서timeout,how,to,from매개변수 조작을 통해 메모리 손상, 배열 인덱스 검증 부족, Null 포인터 역참조 등의 문제가 발생할 수 있습니다.
7️⃣ Other Software and System Vulnerabilities
- TRENDnet TV-IP121W, eGauge EG3000 Energy Monitor, Zohocorp ManageEngine 제품, eCharge 충전 시스템, Redash, TP-Link 카메라, Lucky 제품, Bagisto, Papendorf SOL Connect Center, Feng Office, WuKongOpenSource WukongCRM, Whistle, code-projects 시스템, Konica Minolta bizhub, snstheme 테마, ifkooo, facturaone, AncoraThemes, BZOTheme 테마, miniOrange, PayU, pixelgrade, elfsight, appthaplugins, themeton 테마, LambertGroup 플러그인, woobewoo, redqteam, AmentoTech, Sneeit, looks_awesome, gavias, WebGeniusLab, Frenify, magentech, quitenicestuff, Silverpeas, CloudClassroom, Fahad Mahmood, revmakx, moreconvert, nanbu, Icegram, RomanCode, click5, sonalsinha21, Infility, Holest Engineering, WP Event Manager, g5theme, spicethemes, relentlo, metalpriceapi, Alex Zaytseff, Crypto Cloud, MultiVendorX, ThimPress, Richard Perdaan, mystyleplatform, WP Swings, Unfoldwp 테마, Mikado-Themes 테마, Emlog, VigyBag, KeeperChat, react-native-keys, Anchor CMS, listmonk, jsnjfz, actions toolkit, Unitech, RocketChat, Metabase, libarchive, Caido, HAX CMS PHP, tarojs, CyberData, AMD Versal, SAP, TOTOLINK, Discourse, Wasp, WilderForge, Laravel Translation Manager, FastGPT, Honding Technology, TCMAN's GIM 등 다양한 소프트웨어 및 시스템에서 인증 우회, 권한 상승, 정보 유출, 버퍼 오버플로우, SQL 인젝션, XSS, CSRF 등의 취약점이 발견되었습니다. 각 취약점에 대한 자세한 내용은 뉴스 본문을 참조하고, 해당 제품 사용자는 최신 버전으로 업데이트하거나 제시된 해결 방법을 적용해야 합니다.
8️⃣ Exploit Availability
- 위에서 언급된 많은 취약점에 대해 exploit이 공개되어 악용될 가능성이 높으므로 신속한 조치가 필요합니다.
'CVE' 카테고리의 다른 글
| [CVE]2025-06-02 ~ 2025-06-09 NVD CVE 요약 (0) | 2025.06.09 |
|---|