728x90
반응형
□ 개요
o 핸디소프트 그룹웨어 제품 내 ActiveX에서 발생하는 명령어를 삽입하여 실행할 수 있는 취약점
| 취약점 종류 | 영향 | 심각도 | CVSS 점수 | CVE-ID |
| 임의 명령어 삽입 | 코드 실행 | Medium | 6.4 | CVE-2020-7804 |
□ 설명
o 핸디소프트 그룹웨어의 ActiveX control(hshell.dll) 내 ShellExec 메소드로 전달되는 파라미터값 검증 미흡으로 임의 명령어를 삽입 및 실행할 수 있는 취약점
□ 영향을 받는 제품
| 제품 | 영향 받는 버전 | 동작환경 |
| HandySoft Groupware(HShell.dll) | v1.7.3.1 | windows 7/8/10 |
□ 해결 방안
o 취약점이 해결된 버전(v1.7.4.4) 또는 그 이상의 버전으로 제품 업데이트 수행
□ Credit
o KrCERT 홈페에지를 통해 이은솔님께서 제공해주셨습니다.
KISA 인터넷 보호나라&KrCERT
KISA 인터넷 보호나라&KrCERT
www.boho.or.kr
□ CVSS 점수 정리
o Medium 6.4 CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:H/I:L/A:H
728x90
반응형
댓글