본문내용 바로가기 메인메뉴 바로가기 푸터 바로가기

취약점 정보

CVE-2020-7879 | ipTIME C200 IP카메라 명령어 삽입 취약점2021.11.30
□ 개요
o EFMNetworks社의 ipTIME C200 IP카메라가 ipTIME NAS 서버의 쿠키 값을 처리하는 과정에서 발생하는 명령어 삽입 취약점
EFMNetworks社의 ipTIME C200 IP카메라가 ipTIME NAS 서버의 쿠키 값을 처리하는 과정에서 발생하는 명령어 삽입 취약점
취약점 종류 영향 심각도 CVSS 점수 CVE-ID
명령어 삽입 원격 명령 실행 High 8.8. CVE-2020-7879
 
□ 설명
o ipTIME C200 IP카메라가 ipTIME NAS 제품과 연동할 때 NAS에서 보낸 setCookie('[COOKIE]')문자열을 파싱하여 쿠키  값을 추출 후 사용
o 추출한 쿠키 값은 NAS에 데이터 전송 시 wget 바이너리의 --header 옵션에 전달됨. 이 때 쿠키 값에 대한 검증이 없어 명령 삽입 취약점 발생
 
□ 영향받는 제품 및 버전
영향받는 제품 및 버전
제품 영향 받는 버전 환경
ipTIME C200 ip Camera 1.0.16 N/A
 
□ 해결 방안
o 취약한 버전의 제품 이용자는 ipTIME C200 ip카메라 펌웨어 버전1.036 이상으로 설치

□ 참고
o http://iptime.com/iptime/?page_id=126&dffid=&dfsid=19&dftid=541

□ 기타
o 취약점은 KrCERT 홈페이지를 통해 백정운님께서 제공해주셨습니다.


□ 작성 : 침해사고분석단 취약점분석팀