CVE

[CVE]2025-06-30 ~ 2025-07-07 NVD CVE 요약

레부긔 2025. 7. 7. 18:05
728x90
반응형

내용 요약

다양한 시스템 및 소프트웨어에서 발견된 여러 취약점에 대한 뉴스입니다. 취약점의 종류는 SQL Injection, Buffer Overflow, XSS, 권한 상승, 인증 우회 등 매우 다양하며, 심각도 또한 높음에서 낮음까지 다양합니다. 대부분의 취약점은 공개되었고 악용될 가능성이 있으므로 신속한 패치 적용이 필요합니다. 특히 SourceCodester Best Salon Management System, 여러 D-Link 및 Tenda 제품, code-projects의 여러 시스템, PHPGurukul 시스템, Samsung Open Source rLottie, Honor PC Manager 등에서 치명적인 취약점이 발견되었으니 주의해야 합니다. Linux Kernel, DataEase, File Browser, Ansible Automation Platform, MikroTik RouterOS, Dell OpenManage, Akamai CloudTest 등 널리 사용되는 소프트웨어에서도 취약점이 보고되었습니다. WordPress 플러그인의 취약점도 상당수 포함되어 있습니다.

핵심 포인트

  • SourceCodester Best Salon Management System, D-Link, Tenda AC5, code-projects 시스템, PHPGurukul 시스템 등에서 다수의 치명적인 SQL Injection 및 Buffer Overflow 취약점 발견
  • Samsung Open Source rLottie에서 원격 코드 실행, Path Traversal, Buffer Overflow 등 다양한 취약점 발견
  • Honor PC Manager에서 권한 상승 취약점 발견
  • Linux Kernel에서 Use-After-Free, Out-of-bounds Read/Write, Heap Overwrite 등 메모리 관련 취약점 다수 발견 및 패치
  • DataEase, File Browser, Ansible Automation Platform에서 인증 우회, 권한 상승 등의 취약점 발견
  • 워드프레스 플러그인에서 XSS, 파일 업로드, 인증 우회, SQL Injection 등 다양한 취약점 다수 발견
  • 취약점 공개 및 악용 가능성 높음, 즉각적인 패치 및 업데이트 필요

기술 세부 내용

1️⃣ SQL Injection (SQLi)

  • 공격자가 악의적인 SQL 쿼리를 삽입하여 데이터베이스에 대한 무단 접근을 얻는 공격 기법입니다.
  • SourceCodester Best Salon Management System, code-projects Staff Audit System, PHPGurukul Teachers Record Management System, code-projects Movie Ticketing System, code-projects Inventory Management System, Daily Expense Manager, PHPGurukul Student Record System, code-projects Car Rental System, PHPGurukul Old Age Home Management System, Campcodes Sales and Inventory System, code-projects Simple Pizza Ordering System, PHPGurukul Zoo Management System 등에서 발견되었습니다.
  • 뉴스 본문에서는 argument 조작을 통해 SQL 쿼리가 삽입되는 방식으로 설명됩니다.
  • ️ SQLi를 방지하기 위해서는 Prepared Statements, Parameterized Queries, Input Validation, Stored Procedures 등의 기법을 사용해야 합니다.

2️⃣ Buffer Overflow

  • 버퍼의 경계를 넘어서는 데이터를 입력하여 프로그램의 정상적인 작동을 방해하는 공격 기법입니다.
  • D-Link DI-8100, D-Link DIR-513, Tenda AC5, TOTOLINK A3002RU, Tenda AC1206 등에서 발견되었습니다.
  • 뉴스 본문에서는 argument 조작을 통해 버퍼 오버플로우가 발생하는 방식으로 설명됩니다. Stack-based Buffer Overflow와 Heap-based Buffer Overflow가 모두 언급되었습니다.
  • ️ 버퍼 오버플로우를 방지하기 위해서는 입력 길이 검증, 안전한 코딩 기법(e.g., strncpy), Address Space Layout Randomization (ASLR), Stack Canaries 등을 활용해야 합니다.

3️⃣ Cross-Site Scripting (XSS)

  • 공격자가 웹 페이지에 악성 스크립트를 삽입하여 사용자의 브라우저에서 실행되도록 하는 공격 기법입니다.
  • WP Lightbox 2, Contact Form Plugin, Daily Expense Manager, RICOH Streamline NX, Frappe, ENS HX, Monitorr, Intelbras InControl 등에서 발견되었습니다. Stored XSS, Reflected XSS, DOM-based XSS 등 다양한 유형이 언급되었습니다.
  • ️ XSS 공격을 방지하기 위해서는 출력 인코딩, Content Security Policy (CSP), HttpOnly 쿠키 사용, 입력 검증 등의 기법을 사용해야 합니다.

4️⃣ Privilege Escalation

  • 일반 사용자 권한에서 관리자 권한으로 상승시키는 공격 기법입니다.
  • Honor PC Manager, CVE-2025-0634(rLottie), Opal Estate Pro 플러그인, WP Human Resource Management 플러그인, Janssen Project 등에서 발견되었습니다.
  • ️ 최소 권한 원칙 적용, 취약점 패치, 시스템 및 애플리케이션의 정기적인 보안 감사 등으로 권한 상승 공격을 방지할 수 있습니다.

5️⃣ Authentication Bypass

  • 인증 절차를 우회하여 시스템에 접근하는 공격 기법입니다.
  • TOTOLINK T6, Dell OpenManage Network Integration, ai-inference-server, AVTECH IP camera, GFI Kerio Control, OneLogin AD Connector 등에서 발견되었습니다.
  • ️ 강력한 인증 메커니즘 사용, 다단계 인증, 입력 검증, 정기적인 보안 감사 등을 통해 인증 우회를 방지할 수 있습니다.

6️⃣ Unrestricted Upload

  • 파일 업로드 제한이 없어 악성 파일 업로드가 가능한 취약점입니다.
  • code-projects Library System, BoyunCMS, BlackVue Dashcam 등에서 발견되었습니다.
  • ️ 허용된 파일 형식과 크기 제한, 업로드된 파일 검증, 안전한 파일 저장 경로 설정 등을 통해 악성 파일 업로드를 막을 수 있습니다.

7️⃣ Use After Free (UAF)

  • 해제된 메모리 영역에 접근하여 발생하는 취약점입니다.
  • Samsung Open Source rLottie, Linux Kernel (여러 CVE) 등에서 발견되었습니다.
  • ️ 메모리 관리 철저, 취약점 패치, 안전한 코딩 기법을 통해 UAF 취약점을 방지할 수 있습니다.

8️⃣ Path Traversal

  • 파일 시스템의 허용된 범위 밖의 파일에 접근하는 취약점입니다.
  • ️ Samsung Open Source rLottie, Dromara RuoYi-Vue-Plus, HPE Insight Remote Support 등에서 발견되었습니다.
  • ️ 입력 경로 검증, 최소 권한 원칙 적용, 취약점 패치를 통해 Path Traversal 취약점을 방지할 수 있습니다.

9️⃣ Denial of Service (DoS)

  • 시스템이나 서비스를 이용할 수 없도록 만드는 공격 기법입니다.
  • ☠️ Tenda AC1206, n8n, HP Universal Print Driver, Zipkin, etc.에서 발견되었습니다.
  • ️ 입력 검증, 리소스 제한, 트래픽 모니터링 및 제어 등을 통해 DoS 공격으로 인한 피해를 줄일 수 있습니다.

기타 취약점

  • Improper Input Validation: Samsung Open Source rLottie, Sunshine, File Browser, Pillow, Daily Expense Manager 등에서 발견. 입력값 검증 부족으로 인한 취약점
  • Missing Authentication: TOTOLINK T6, ai-inference-server, Anthropic Slack MCP Server, SimStudioAI sim, rowboatlabs rowboat 등에서 발견. 인증 절차가 없는 취약점
  • Improper Certificate Validation: Comodo Internet Security Premium, AVTECH IP camera 등에서 발견. 인증서 검증 절차가 부적절한 취약점
  • OS Command Injection: D-Link DI-7300G+, Daily Expense Manager, D-Link DI-8200G, Ansible Automation Platform, RestDB Codehooks.io, AVTECH devices, Hikvision platform, stamparm/maltrail, D-Link DIR-816-A2, Intelbras RX1500 Router, Belkin F9K1122 등에서 발견. 시스템 명령어 삽입 취약점
  • Resource Leak: ABB Lite Panel Pro, ASR180x/ASR190x, Akamai CloudTest, CVE-2025-6554 (Chrome V8), HDF5 등에서 발견. 자원 누수 취약점
  • Insufficient Entropy: D-Link DCS-6517/DCS-7517에서 발견. 난수 생성 시 엔트로피 부족으로 인한 취약점
  • Hard-coded Password: D-Link DCS-7517, mao888 bluebell-plus, Done-0 Jank 등에서 발견. 하드코딩된 패스워드 사용 취약점
  • Deserialization of Untrusted Data: Delta Electronics DTM Soft, Akamai CloudTest, Pillow, Monero Project forum, Checkmk, @cyanheads/git-mcp-server 등에서 발견. 신뢰할 수 없는 데이터 역직렬화 취약점
  • Insufficient Session Expiration: ABB Lite Panel Pro, NS3000/NS2000에서 발견. 세션 만료 시간 부족으로 인한 취약점

취약점 공개 및 악용 가능성

  • 뉴스 본문에 언급된 대부분의 취약점은 공개되었으며 악용될 가능성이 있다고 명시되어 있습니다.
  • 즉시 해당 소프트웨어 또는 시스템의 패치를 적용하거나 업데이트를 진행해야 합니다. 벤더의 공지 및 보안 권고를 주의 깊게 확인하는 것이 중요합니다.

 

출처: https://rebugui.tistory.com

728x90
반응형
저작자표시 비영리 변경금지 (새창열림)