VU#317469: 파트너 소프트웨어/파트너 웹 사용자... 노트

VU#317469: 파트너 소프트웨어/파트너 웹 사용자는 보고서 파일 및 노트 내용을 제대로 검증하지 않아 XSS 및 RCE를 허용합니다.

Partner Software 및 Partner Web은 보고서 및 메모 파일에 대한 부적절한 정리로 인해 크로스 사이트 스크립팅(XSS) 공격에 취약합니다. 산업, 지방 자치 단체, 주 정부 및 민간 계약업체에서 사용하는 이러한 애플리케이션은 권한 있는 사용자가 파일을 업로드할 수 있도록 허용합니다. 파일 업로드 기능은 파일 형식을 제한하지 않아 공격자가 피해자의 장치에서 악성 코드를 실행할 수 있습니다. 또한 Partner Web은 기본 관리자 자격 증명이 함께 제공되어 상당한 보안 위험을 초래합니다. CVE-2025-6076, CVE-2025-6077 및 CVE-2025-6078로 식별된 이러한 취약점은 임의 코드 실행 및 장치 침해로 이어질 수 있습니다. 이러한 취약점의 영향으로 공격자는 관리자 액세스 권한을 얻거나 XSS 공격을 수행할 수 있습니다. Partner Software는 이러한 보안 결함을 해결하기 위해 버전 4.32.2에서 패치를 출시했습니다. 이 패치는 관리자 및 편집 사용자 역할을 제거하고, 메모 섹션의 입력을 정리하며, 파일 첨부 파일을 특정 형식으로 제한합니다. 영향을 받는 Partner Web 버전은 4.32 이하입니다. 패치 정보는 Partner Software 웹사이트에서 확인할 수 있습니다.