FVE-2025-0340 | 이지닉스 EzQ UC메신저 임의 파일 다운로드 취약점
□ 개요
o 이지닉스社는 자사 제품에서 발생하는 취약점을 해결한 보안 업데이트 개발
o 영향받는 버전을 사용 중인 기관은 해결 방안에 따라 최신 버전으로 업데이트 필요
□ 설명
o EzQ UC메신저 제품의 임의 파일 다운로드 취약점(FVE-2025-0340)
※ FVE(FSI Vulnerabilities and Exposure): 금융보안원이 수집·발굴한 금융권 소프트웨어 보안 취약점의 관리번호 체계
- 현상: 소켓 패킷 내 파일 경로/확장자 검증 미흡
- 원인: 파라미터 조작을 통한 상위 디렉토리 접근 허용
- 영향: 서버 내 민감 파일 다운로드 및 임의 파일 쓰기를 통한 서버 침투 경로 확보
□ 영향받는 제품 및 해결 방안
o 제품명 : EzQ UC메신저
- 영향받는 버전 : 8.21.4.132(빌드번호: 819251)
- 해결버전 : 영향받는 버전을 사용하고 있는 금융사는 개발사에 해결버전 문의 필요
o 해결방안 : 업무영향 검토, 패치 버전 적용 및 배포 등
o 추가사항 : 영향받는 버전을 사용하고 있지 않더라도 기관별 커스터마이징으로 인해 사용버전에 취약점이 존재할 수 있어, 취약 여부는 개발사 확인이 필요
□ 문의
o 개발사 : 이지닉스, help@eznix.com/help119@eznix.com, 1661-6524
o 금융보안원 SW공급망보안팀 : 02-3495-9431~9434
□ 기여자
o oriax (박*택, *taek Park)