반응형
허용받지 않은 서비스 대상으로 해킹을 시도하는 행위는 범죄 행위입니다. 해킹을 시도할 때에 발생하는 법적인 책임은 그것을 행한 사용자에게 있다는 것을 명심하시기 바랍니다.
CVE-ID
CVE-2022-29464
개요
무제한 임의 파일 업로드 및 원격 코드 실행 취약점
설명
사용자 입력에 대한 부적절한 유효성 검사로 인해 악의적인 행위자가 사용자가 제어하는 서버 위치에 임의의 파일을 업로드할 수 있습니다. 임의 파일 업로드 취약점을 활용하여 서버에서 원격 코드 실행을 얻을 수 있습니다.
IMPACT
이 취약점을 이용하여 악의적인 행위자는 특수하게 조작된 페이로드를 업로드하여 원격 코드 실행을 수행할 수 있습니다.
해결책
WSO2는 2022년 1월에 고객에게 임시 완화 기능을 제공했으며 2월에 WSO2 지원 매트릭스 ("사용 가능" 및 "사용 중단됨" 상태)에 나열된 모든 지원 제품 버전에 대한 수정 사항을 제공했습니다
추가 해결 방법 및 제품 버전은 참고 사이트를 참고 바랍니다.
참고사이트
https://docs.wso2.com/display/Security/Security+Advisory+WSO2-2021-1738
https://nvd.nist.gov/vuln/detail/CVE-2022-29464#vulnCurrentDescriptionTitle
반응형
'Code::Security > 취약점' 카테고리의 다른 글
| 드레이텍 비거(DrayTek Vigor) 라우터에서 인증되지 않은 원격 코드 실행 취약점 발견 (0) | 2022.08.05 |
|---|---|
| phpMyAdmin - Client-Side Code Injection (CVE-2010-4480) (0) | 2022.08.01 |
| WSO2 Management Console Cross-Site Scripting (XSS) (0) | 2022.07.07 |
| JexBoss 오픈 소스 도구를 통한 취약점 점검 (0) | 2022.07.04 |
| SolarView Compact 6.0 Command Injection (CVE-2022-29303) (0) | 2022.06.23 |