English

◀◁ 뒤로 취약점ID 21288 위험도 30 포트 80, ... 프로토콜 TCP 분류 CGI 상세설명 해당 phpBB 프로그램은 다중의 스크립트 파일들에 cross-site scripting 취약점들을 가지고 있다. phpBB는 게시판(bulletin board)을 위한 오픈 소스 소프트웨어 패키지로써 데이터베이스로는 MySQL, MS-SQL, PostgreSQL, Access/ODBC 등을 사용한다. phpBB의 2.0.6d 이하의 버전들은 공격자가 악의적인 HTML 및 스크립트 코드를 포함하고 있는 ViewTopic.php 혹은 ViewForum.php 스크립트에 대한 악의적인 링크를 만들 수 있게 해 준다. 이 링크가 한번이라도 클릭된다면 공격자의 스크립트는 호스팅하는 사이트의 보안 권한을 가지고 희생자의 웹 브라우저에서 실행될 것이다. 공격자는 이 취약점을 도용하여 취약한 시스템의 합법적인 사용자들로부터 쿠키 기반의 신용 정보들을 훔쳐낼 수 있다. * 참고 사이트: http://archives.neohapsis.com/archives/bugtraq/2004-02/0679.html http://www.securityfocus.com/archive/1/357401 * 영향을 받는 플랫폼: phpBB Group phpBB 2.0.6d 이하 Microsoft Windows Any version Unix Any version Linux Any version 해결책 2014년 6월 현재 업그레이드는 나와 있지 않다. GulfTech Security Research Team의 JeiAr에 의해 비공식 패치가 나와 있다. 아래에 있는 다음 링크에서 Fix를 구할 수 있다: http://www.gulftech.org/advisories/phpBB%20Cross%20Site%20Scripting/27 -- 혹은 -- 공식적인 fix가 나오면 http://sourceforge.net/projects/phpbb 에 있는 SourceForge Web site, Project: phpBB에서 fix를 구할 수 있다. 관련 URL CVE-2004-1809 (CVE) 관련 URL 9865,9866 (SecurityFocus) 관련 URL 15348 (ISS)