[CVE]2025-07-07 ~ 2025-07-14 NVD CVE 요약

내용 요약

BoyunCMS, sim, risesoft-y9 Digital-Infrastructure, Portabilis i-Educar, ThreatSonar Anti-Ransomware, Nimesa Backup and Recovery, lunary-ai/lunary, run-llama/llama_index, huggingface/transformers, langgenius/dify, UTT 라우터, Campcodes 시스템, SUR-FBD CMMS, Gavias Halpes, SimStudioAI sim, rowboatlabs rowboat, code-projects, itsourcecode Employee Management System, dagster-webserver Dagster, Wikimedia Foundation Mediawiki 확장 프로그램, Hashview, libssh, GStreamer, MongoDB Server, Marvell QConvergeConsole, Mescius ActiveReports.NET, CodeAstro 시스템, Paxton Paxton10, Natours, Dokploy, Quiter Gateway, Samsung 모바일 프로세서 및 모뎀, Redis, employee record management system, educoder, Better Auth, Roo Code, gnuboard5, IBM 제품, WeGIA, FastAPI Guard, arduino-esp32, Kestra, SourceCodester Best Salon Management System, PHPGurukul 시스템, CodeAstro 시스템, Campcodes 시스템, TOTOLINK 제품, hitzs-ids airda, LuaJIT, OpenAI Operator SaaS, Shenzhen Liandian Communication Technology LTD IP 카메라, kone-net go-chat, saltbo zpan, Autodesk Revit, Allworx System Software, ProcessMaker, Riverbed SteelHead VCX, VICIdial, BuilderEngine, Serviio Media Server, CryptoLog, mpgram-web, Qt, Adobe 제품, Drupal, 9fans plan9port, TOTOLINK 제품, FUJI ELECTRIC CO., LTD. VS6Sim.exe/TELLUS, Advanced Installer, gdk-pixbuf/glib, Fortinet FortiOS/FortiProxy, Abis, Inc Adjutant Core Accounting ERP, IBM Sterling B2B Integrator/File Gateway, Dell 제품, node-code-sandbox-mcp, Press (Frappe custom app), Ivanti 제품, Google ChromeOS, arduino-esp32, FastAPI Guard, Keycloak, libsoup, Netgear D6400, Palo Alto Networks 제품, Splunk Enterprise/Cloud Platform, Wing FTP Server, Meshtastic, Open OnDemand, Shenzhen Liandian Communication Technology LTD IP Camera, Cato Networks CatoClient, Texas Instruments CC2652RB, Zimbra Collaboration Suite (ZCS), @builder.io/qwik-city, Docusaurus gists plugin, Rockwell Automation Arena, Quiter Gateway, Gallagher T-Series Reader, BeeTeam368 Extensions plugin, SugarCRM, Honeywell Experion PKS/OneWireless WDM, Polycom HDX Series, Mako Server, Easy File Sharing HTTP Server, CryptoLog, immich, GNU Tar, Alteryx Server, Trend Micro 제품, Jenkins 플러그인, OpenText Directory Services, Autodesk Revit, GnuTLS, Bigotry OneBase, ShopXO, jshERP, King FoxCMS, Zavy86 WikiDocs, Canonical Multipass, eGroupWare, Juniper Networks 제품, phpThumb, Autodesk Revit, HP Support Assistant, Substance3D, Microsoft 제품, Brocade Fabric OS/SANnav, Drupal, Emerson ValveLink, Advantech iView, TOTOLINK, PHP Gurukul, krishna9772, D-Link, FNKvision FNK-GU2, lty628 Aidigu, CodeAstro, GitLab, Mitsubishi Electric Corporation, Palo Alto Networks, Apache HTTP Server, Radiflow iSAP Smart Collector, Adobe 제품, ConnectWise, White Star Software Protop, Realtek, py-libp2p, OpenAI, WellChoose BatchSignCS, Digitware System Integration Corporation, FiberHome, llama.cpp, Chall-Manager 등 다양한 제품에서 심각한 보안 취약점들이 발견되었다. 이러한 취약점들은 원격 코드 실행, 서비스 거부(DoS), 정보 유출, 권한 상승 등 다양한 공격으로 이어질 수 있다. 뉴스에서는 각 취약점에 대한 CVE 번호, 영향받는 제품 및 버전, 취약점 발생 원인, 공격의 복잡도 및 영향 등을 자세히 설명하고 있다. 대부분의 취약점은 패치가 공개되었으므로 해당 제품을 사용하는 사용자는 즉시 업데이트해야 한다.

핵심 포인트

• BoyunCMS에서 여러 심각한 취약점 발견 (CVE-2025-7099 ~ CVE-2025-7103): 역직렬화, 무제한 파일 업로드, 코드 및 SQL 주입, 서버측 요청 위조(SSRF) 등 다양한 유형의 공격 가능성 존재.
• 여러 제품에서 파일 미리보기 기능의 벡터 이미지 파싱 관련 스택 오버플로우 취약점 다수 발견 (CVE-2024-58117, CVE-2025-53171 ~ CVE-2025-53176): 파일 미리보기 기능 영향.
• 분산 카메라 관련 인증 우회 취약점 발견 (CVE-2025-53167 ~ CVE-2025-53169): 사용자 모르게 카메라 사용 가능성.
• PDF 및 애플리케이션 종료 관련 Null Pointer Dereference 취약점 발견 (CVE-2025-53170, CVE-2025-53179 ~ CVE-2025-53184): 기능 안정성 저하.
• 캘린더 저장 모듈 권한 우회 취약점 발견 (CVE-2025-53177, CVE-2025-53178): 스케줄 동기화 및 미리 알림 기능 영향.
• 메모리 관리, 오디오 프레임워크 관련 취약점 발견 (CVE-2025-53185, CVE-2025-53186): 서비스 무결성 및 가용성 영향.
• 다양한 시스템 및 애플리케이션에서 Path Traversal, OS 명령 주입, SQL 주입, XSS, CSRF, 부적절한 인증, 버퍼 오버플로우 등 다양한 취약점 발견: 원격 코드 실행, 권한 상승, 정보 유출, 서비스 거부 등 심각한 보안 위협 야기 가능.
• 대부분의 취약점은 패치가 공개: 즉시 업데이트 필요.

기술 세부 내용

1️⃣ BoyunCMS 취약점 (CVE-2025-7099 ~ CVE-2025-7103)

• CVE-2025-7099: install/install2.php 파일의 db_host 인자 조작을 통한 역직렬화 취약점 (Critical). 원격 공격 가능, 공격 및 악용 복잡도 높음.
• CVE-2025-7100: /application/user/controller/Index.php 파일의 image 인자 조작을 통한 무제한 파일 업로드 취약점 (Critical). 원격 공격 가능.
• CVE-2025-7101: /install/install_ok.php 파일의 db_pass 인자 조작을 통한 코드 주입 취약점 (Critical). 원격 공격 가능.
• CVE-2025-7102: application/update/controller/Server.php 파일의 phone 인자 조작을 통한 SQL 주입 취약점 (Critical). 원격 공격 가능.
• CVE-2025-7103: /application/pay/controller/Index.php 파일의 curl 컴포넌트 조작을 통한 서버측 요청 위조(SSRF) 취약점 (Critical). 원격 공격 가능.

2️⃣ 파일 미리보기 관련 스택 오버플로우 취약점 (CVE-2024-58117, CVE-2025-53171 ~ CVE-2025-53176)

• CVE-2024-58117, CVE-2025-53171 ~ CVE-2025-53176: 파일 미리보기 기능에서 벡터 이미지 파싱 중 스택 오버플로우 발생. 파일 미리보기 기능 영향.

3️⃣ 분산 카메라 관련 인증 우회 취약점 (CVE-2025-53167 ~ CVE-2025-53169)

• CVE-2025-53167: 분산 협업 프레임워크 모듈의 인증 취약점. 서비스 기밀성 영향.
• CVE-2025-53168, CVE-2025-53169: 분산 카메라에서 SA 시작 및 관련 기능 사용 프로세스 우회 취약점. 사용자 인지 없이 카메라 사용 가능.

4️⃣ Null Pointer Dereference 취약점 (CVE-2025-53170, CVE-2025-53179 ~ CVE-2025-53184)

• CVE-2025-53170: 애플리케이션 종료 원인 모듈의 Null Pointer Dereference 취약점. 기능 안정성 영향.
• CVE-2025-53179 ~ CVE-2025-53184: PDF 미리보기 모듈의 Null Pointer Dereference 취약점. 기능 안정성 영향.

5️⃣ 캘린더 저장 모듈 권한 우회 취약점 (CVE-2025-53177, CVE-2025-53178)

• CVE-2025-53177: 캘린더 저장 모듈의 권한 우회 취약점. 시계의 스케줄 동기화 기능 영향.
• CVE-2025-53178: 캘린더 저장 모듈의 권한 우회 취약점. 헤드 유닛의 스케줄 미리 알림 기능 영향.

6️⃣ 메모리 관리, 오디오 프레임워크 관련 취약점 (CVE-2025-53185, CVE-2025-53186)

• CVE-2025-53185: 메모리 관리 모듈의 가상 주소 재사용 문제. 권한 없는 사용자가 해제된 메모리에 액세스 가능. 서비스 무결성 영향.
• CVE-2025-53186: 오디오 프레임워크 모듈에서 타사 통화 앱이 검증 없이 브로드캐스트를 전송할 수 있는 취약점. 가용성 영향.

7️⃣ 기타 취약점 (CVE-2025-7099 이후)

• CVE-2025-7099 이후 CVE들은 Path Traversal, OS Command Injection, SQL Injection, Cross-Site Scripting (XSS), Cross-Site Request Forgery (CSRF), 부적절한 인증, 버퍼 오버플로우 등 매우 다양한 유형의 취약점들을 포함하고 있다. 각 CVE에 대한 상세한 내용은 뉴스 본문을 참조. 각 취약점은 서로 다른 제품과 버전에 영향을 미치며, 원격 코드 실행, 권한 상승, 정보 유출, 서비스 거부 등의 심각한 결과를 초래할 수 있다.

 

출처: https://rebugui.tistory.com