CVE-2015-5687, CVE-2015-7322, CVE-2015-7323
CVE-2015-7392, CVE-2015-7684

[보안뉴스 주소형] 현지 시각으로 10월 5일, 우리나라 시간으로는 대략 5일에서 6일로 넘어오는 밤 사이에 미국의 National Vulnerability Database을 통해 발표된 취약점들입니다.




1. CVE-2015-5687
Anchor CMS 0.9.x 버전의 system/session/drivers/cookie.php에서 발견된 취약점으로 공격자가 원격에서 쿠키 안에 조작된 시리얼화된 타깃을 통해 PHP 오브젝트 삽입을 하고 임의의 PHP 코드를 실행할 수 있습니다.

2. CVE-2015-7322
Pulse Connect Secure (전 Juniper Junos Pulse) 7.1R22.1, 7.4, 8.0, 8.0R11, 8.1, 8.1R3 이전 버전의 Secure Meeting에서 발견된 취약점으로 공격자가 원격에서 요청 시리즈들을 통해 미팅 아이디들을 열거할 수 있습니다.

3. CVE-2015-7323
Pulse Connect Secure (전 Juniper Junos Pulse) 7.1R22.1, 7.4, 8.0, 8.0R11, 8.1, 8.1R3 이전 버전의 Secure Meeting에서 발견된 취약점으로 인증된 사용자가 원격에서 미팅 id 및 meetingAppSun.jar을 레버리징시킴으로서 접속 제한과 임의의 미팅에 있는 로그를 우회할 수 있습니다.

4. CVE-2015-7392
FreeSWITCH 1.4.23, 1.6.x, 1.6.2 이전 버전의 parse_string 기능에서 발견된 힙 기반의 버퍼 오버플로우 취약점으로 공격자가 원격에서 json 스트링에 있는 트레일링 \u을 통해 임의의 코드를 실행할 수 있습니다.

5. CVE-2015-7684
GLPI 0.85.3 이전 버전의 무제한 파일 업로드 취약점으로 인증된 사용자가 원격에서 files/_tmp/의 다이렉트 요청을 통해 임의의 코드를 실행할 수 있습니다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 주소형 기자(sochu@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>