개요
PHP/Composer MVC Framework인 Nette에서 발생하는 취약점을 해결하는 업데이트를 발표하였습니다. 해당하는 버전 사용자는 최신 버전으로 업데이트하시기 바랍니다.
대상 제품
CVE-2020-15227
- Nette/nette 버전: 2.0.0(포함) ~ 2.0.19(제외)
- Nette/nette 버전: 2.1.0(포함) ~ 2.1.13(제외)
- Nette/application 버전: 2.2.0(포함) ~ 2.2.10(제외)
- Nette/application 버전: 2.3.0(포함) ~ 2.3.14(제외)
- Nette/application 버전: 2.4.0(포함) ~ 2.4.16(제외)
- Nette/application 버전: 3.0.0(포함) ~ 3.0.6(제외)
해결된 취약점
특수하게 구성된 매개 변수를 URL에 전달할 경우 RCE로 이어질 수 있는 코드 인젝션 취약점
취약점 패치
최신 업데이트를 통해 취약점 패치가 제공되었습니다. 참고 사이트의 안내에 따라 최신 취약점 패치 버전으로 업데이트 하시기 바랍니다.
CVE-2020-15227
- Nette/nette 버전: 2.0.19
- Nette/nette 버전: 2.1.13
- Nette/application 버전: 2.2.10
- Nette/application 버전: 2.3.14
- Nette/application 버전: 2.4.16
- Nette/application 버전: 3.0.6
참고 사이트
[1] CVE-2020-15227
https://nvd.nist.gov/vuln/detail/CVE-2020-15227
[2] github /Nette
https://github.com/nette/application/security/advisories/GHSA-8gv3-3j7f-wg94
[3] 취약점 악용 시도
https://isc.sans.edu/diary/Attacks+against+the+Nette+PHP+framework+CVE202015227/31076
[4] 취약점 악용으로 인해 다운로드 된 파일
https://www.virustotal.com/gui/file/8325bfc699f899d0190e36ea339540ea0590aea0e1b22b8a2dcec3ff8b5763b8
8325bfc699f899d0190e36ea339540ea0590aea0e1b22b8a2dcec3ff8b5763b8