Command Injection
-
Notepad++_v7.6.3 Command InjectionSystem/Windows 2019. 6. 13. 23:37
얼마전에 Windows 기본 프로그램 메모장에서 RCE가 발견됐다는 기사를 본 적이 있었다. 보자마자 드는 생각이 '가능해?'라는 생각이 들었는데, Notepad++ 에서도 취약점이 발견됐다고 한다. 이것도 마찬가지로 처음에 드는 생각이 '가능한가?' 였다.나는 Notepad++를 써본 적이 없어서 기본 메모장처럼 글만 쓰는 아주 베이직한 프로그램일 줄 알았다. 근데 공격벡터가 아예 없는건 아니였다.Search Engine을 설정해서 구글이나 야후등의 검색 서비스 기능도 있었고,각종 플러그인으로 추가적인 기능들을 프로그램에서 사용할 수 있었다. 이번에 발견된 취약점 재현 절차는 다음과 같으며, v7.6.3이하의 버전에서만 유효하다.1. [설정] - [환경 설정] - [Search Engine]에서 사용자..