English

◀◁ 뒤로 취약점ID 21313 위험도 30 포트 80, ... 프로토콜 TCP 분류 CGI 상세설명 해당 CuteNews 소프트웨어에는 Debug 쿼리 정보 노출 취약점이 존재한다. CuteNews는 데이터베이스로의 저장 형태로 개별 파일들을 사용하는 PHP 기반의 뉴스 관리 소프트웨어로서 무료로 사용 가능하다. CuteNews 버전 1.3.1 시스템에는 중요한 서버 설정 정보들을 원격지 공격자들에게 노출하는 취약점을 갖는다. 이는 CuteNews 시스템이 "debug" 라는 파라미터를 가진 "index.php" 파일 요청에 대해 시스템의 중요 정보를 반환해 주는 phpinfo()함수가 바로 실행되도록 구현된 구현 상의 결함으로 인하여 발생한다. 원격지 공격자들은 다음과 같이 잘 조작된 URL을 시스템에 전달함으로써, 시스템 상의 중요한 정보들을 획득할 수 있다. 이는 대상 시스템에 대해 보다 지능적인 공격들을 수행하는 데 유용하게 쓰일 수 있다. http://[target_server]/cutenews/index.php?debug * 참고 사이트: http://archives.neohapsis.com/archives/bugtraq/2003-11/0355.html * 영향을 받는 플랫폼: CutePHP CuteNews Any version Microsoft Windows Any version Unix, Linux Any version 해결책 다음 사이트를 참조하여 최신 버전의 CuteNews로 업그레이드 해야 한다. http://cutephp.com/ 관련 URL (CVE) 관련 URL 9130 (SecurityFocus) 관련 URL 13868 (ISS)