728x90
반응형
1. 개요
- 핸디소프트(Handysoft) 그룹웨어 HShell ActiveX의 파일 다운로드 및 실행 취약점
| 취약점 종류 | 영향 | 심각도 | CVSS 점수 | CVE ID |
| 무결성 검증 미흡 | 파일 다운로드 및 실행 | High | 8.8 | CVE-2021-26608 |
2. 설명
- 핸디소프트 그룹웨어에서 사용하는 ActiveX 모듈(HShell.dll) 내 GetWshShell 메소드로 전달되는 값에 대한 검증 미흡으로 파일 다운로드 및 실행 가능한 취약점
- 외부의 신뢰되지 않은 파일을 검증 없이 다운로드 및 실행 가능하여 악성코드 감염 등 피해 발생 가능
3. 영향받는 제품 및 버전
| 제품명 | 영향받는 버전 | 환경 |
| HShell.dll | 1.7.4.5 2.0.3.5 4.0.1.6 |
윈도우 |
반응형
4. 해결 방안
- 취약한 버전의 제품 이용자는 1.7.4.6, 2.0.3.6, 4.0.1.7 버전으로 업데이트 실시
5. 참고 사이트
KISA 인터넷 보호나라&KrCERT
KISA 인터넷 보호나라&KrCERT
www.boho.or.kr
728x90
반응형
'+ Security > 취약점 정보(CVE CODE)' 카테고리의 다른 글
| [취약점정보] CVE-2020-7850 더존 ActiveX 파일 다운로드 및 실행 취약점 (2) | 2021.04.27 |
|---|---|
| [취약점정보] CVE-2020-7847 ipTIME NAS 파일 업로드 및 실행 취약점 (0) | 2021.02.25 |
| [취약점정보] CVE-2020-7846 헬프컴 임의파일 다운로드 및 실행 취약점 (0) | 2021.02.25 |
| [취약점정보] CVE-2020-7836 보이스아이 스택 오버플로우 취약점 (0) | 2021.02.24 |
| [취약점정보] CVE-2020-7848 EFM ipTIME C200 IP 카메라 명령 삽입 취약점 (0) | 2021.02.19 |
댓글