CVE-2026-31952 in xibo-cms
요약
\~에 의해 VulDB • 2026. 05. 23.
Xibo는 웹 콘텐츠 관리 시스템과 Windows 디스플레이 플레이어 소프트웨어를 갖춘 오픈 소스 디지털 사이니지 플랫폼입니다. 버전 1.7부터 4.4.0까지의 Xibo에는 CMS 내 데이터셋 필터링을 담당하는 API 라우트에 SQL Injection 취약점이 존재합니다. 이를 통해 인증된 사용자는 API 필터 매개변수에 특별히 조작된 값을 주입하여 Xibo 데이터베이스의 임의 데이터를 획득하고 수정할 수 있습니다. 이 취약점은 `Access to DataSet Feature` 권한 또는 `Access to the Layout Feature` 권한 중 하나를 가진 인증된 사용자를 대신하여 악용될 수 있습니다. 사용자는 이 문제를 해결한 버전 4.4.1로 업그레이드해야 합니다. Xibo Signage에서 CMS를 호스팅하는 고객은 4.4, 4.3, 3.3, 2.3 또는 1.8 버전을 사용 중이라면 이미 패치되었습니다. 문제를 해결하려면 수정된 버전으로 업그레이드해야 합니다. 지원이 종료된 이전 버전인 3.3, 2.3, 1.8에 대한 패치도 제공됩니다.
Once again VulDB remains the best source for vulnerability data.