□ 개요
o 사이버다임社의 DestinyECM에서 발생하는 CORS 설정 미흡 취약점
o 금융보안원은 금융권 CNA로서 해당 취약점(FVE-2024-0292)에 CVE ID (CVE-2024-11071) [1] 발급 후 '25.4.7. 공개하였음
※ FVE(FSI Vulnerabilities and Exposure): 금융보안원이 입수·발굴하여 관리하는 금융권 소프트웨어의 보안 취약점 정보
□ 설명
o DestinyECM 제품 계정 탈취 취약점(CVE-2024-11071): 해당 제품의 Local API 서버 CORS 설정이 미흡함으로 인해 CSRF 취약점 및 JSON Hijacking 취약점 발생 가능
□ 영향받는 제품 및 해결 방안
ㅇ 제품명 : DestinyECM
|
취약 버전 |
해결 버전 |
|
5.24.10.2303 미만의 모든 5.24.10.* 버전 |
5.24.12.2303 이상 |
|
5.23.12.2450 미만의 모든 5.23.10.* 버전 |
5.23.12.2450 이상 |
|
5.23.08.2451 미만의 모든 5.23.02.* 버전 |
5.23.08.2451 이상 |
|
5.22.12.2446 미만의 모든 5.22.* 버전 |
5.22.12.2446 이상 |
|
5.21.12.2303 미만의 모든 5.19.*, 5.20.*, 5.21.* 버전 |
5.21.12.2303 이상 |
ㅇ 해결방안 : 업무영향 검토, 패치 버전 적용 및 배포 등
ㅇ 추가사항 : 기관별 커스터마이징으로 인해 버전 표시가 상기와 다를 수 있음. 개발사를 통해 세부 버전 및 취약 여부 확인 필요
□ 문의
ㅇ 개발사 : 사이버다임, tech.center@cyberdigm.co.kr, 02-546-6993
ㅇ 금융보안원 SW공급망보안팀 : 02-3495-9431~9433
□ 기여자
ㅇ jskimpwn(김지섭, Jisub Kim)
ㅇ arang(유재욱, Jaewook You)
□ 참고사이트
[1] https://www.cve.org/CVERecord?id=CVE-2024-11071