지니언스의 지니안 낙에서 정보유노출 위험있는 SQL 인젝션 취약점 발견

[보안뉴스 김경애 기자] 보안기업 지니언스의 지니안 낙(Genian NAC)에서 정보유노출 취약점이 발견됐다. 5일 한국인터넷진흥원에 따르면 “지니안 낙에서 SQL 인젝션(SQL Injection) 취약점이 발견됐다”며 주의를 당부했다.


[이미지=지니언스]

해당 취약점은 KISA에서 진행한 버그바운티를 통해 발견된 취약점이며, 지니안 낙 관리콘솔에서 데이터 검색 시 사용자 입력 값 검증 미흡으로 인해 발생하는 SQL Injection 취약점(CVE-2024-23843)이다.

영향을 받는 제품은 △Genian NAC V5.0으로 영향받는 버전은 5.0.60 이하이며, 해결 버전은 5.0.61 이상이다. △또한 Genian NAC LTS V5.0 제품으로 영향받는 버전은 5.0.55 LTS(Revision 125558 이하), 5.0.56 LTS(Revision 125560 이하)버전이며, 해결버전은 5.0.55 LTS(Revision 125559 이상), 5.0.56 LTS(Revision 125561 이상)이다. 따라서 해당 제품 이용자는 취약점이 해결된 버전으로 제품을 업데이트하는 게 바람직 하다.

이와 관련 지니언스 관계자는 해당 취약점은 “버그바운티를 통해 지난 4월 1일 발견된 취약점으로 바로 다음 날인 2일 취약점 접수, 12일 보안패치 개발 완료, 19일 보안패치를 배포했고, 제조사 SA공지를 4월 26일했다”며 “다만 KISA 검증 프로세스상 취약점 공지는 11월 5일에 올라왔다”고 밝혔다.

지닌언스 관계자는 “KISA 버그 바운티 뿐 아니라 자체 버그바운티도 하고 있다”며 “무엇보다 취약점은 발견 즉시 빠른 조치 대응이 중요하기 때문에 기업의 피해 최소화를 위해 오픈을 통해 빠른 조치에 노력하고 있다”고 밝혔다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>