VU#887923: Kiwire Captive Portal에 3가지 웹 취약점이 존재합니다.
SynchroWeb의 게스트 Wi-Fi 솔루션인 Kiwire Captive Portal에는 세 가지 치명적인 취약점이 있습니다. 여기에는 데이터베이스 침해를 허용하는 nas-id 매개변수의 SQL 삽입 취약점이 포함됩니다. 로그인 URL 매개변수에는 악성 사이트로의 리디렉션을 가능하게 하는 오픈 리디렉션 취약점이 존재합니다. 또한 로그인 URL 매개변수에는 JavaScript 실행을 허용하는 반사형 크로스 사이트 스크립팅(XSS) 취약점이 있습니다. SQL 삽입 취약점(CVE-2025-11188)은 공격자가 데이터베이스에서 민감한 데이터를 유출할 수 있도록 합니다. 오픈 리디렉션 취약점(CVE-2025-11190)은 사용자를 공격자가 제어하는 웹사이트로 유인할 수 있습니다. XSS 취약점(CVE-2025-11189)은 로그인하려는 장치에서 JavaScript가 실행될 수 있도록 합니다. 공급업체는 세 가지 취약점 모두를 해결했습니다. 영향을 받는 Kiwire Captive Portal 버전을 사용하는 사용자는 최신 버전으로 업데이트하는 것이 좋습니다. SynchroWeb 웹사이트에서 보안 권고를 확인할 수 있습니다. SynchroWeb은 또한 영향을 받는 사용자에게 연락하여 패치 적용을 지원할 것입니다.