| 취약점ID |
21315 |
| 위험도 |
30 |
| 포트 |
80, ... |
| 프로토콜 |
TCP |
| 분류 |
CGI |
| 상세설명 |
해당 웹 서버 상의 Comersus Shopping Cart 프로그램은 Cross-Site Scripting 취약점을 가지고 있다.
Comersus Cart는 Microsoft Windows와 Linux 운영체제 상에서 동작하는 장바구니(shopping cart) 프로그램으로 무료로 사용 가능하다. Comersus Cart 5.0.9 버전은 사용자 입력에 대한 유효성 검사의 결함으로 인하여, 원격지 공격자들이 Cross-Site Scripting 공격을 수행하도록 허용할 수 있다. 원격지 공격자들은 악의적인 스크립트를 포함해서 다음과 같은 페이지들에 대한 잘 조작된 URL 요청을 생성함으로써, 조작된 URL 링크가 대상 사용자에 의해 클릭될 때, Comersus Cart 프로그램을 서비스하는 웹 서버의 권한으로 대상 사용자의 웹 브라우저를 통해 삽입된 악의적인 코드가 실행되도록 할 수 있다.
/comersus/store/comersus_customerAuthenticateForm.asp
/comersus/backofficeLite/comersus_backoffice_message.asp
/comersus/store/comersus_supportError.asp
/comersus/store/comersus_message.asp
이 취약점은 대상 사용자들의 쿠키(cookie)기반의 인증 신용 정보를 훔치는 데 도용될 수 있다.
* 참고 사이트:
http://archives.neohapsis.com/archives/bugtraq/2004-07/0071.html
http://securitytracker.com/alerts/2004/Jul/1010658.html
* 영향을 받는 플랫폼:
Comersus Cart 5.09
Linux Any version
Windows Any version |
| 해결책 |
Comersus Open Technologies 다운로드 사이트인 http://www.comersus.com/download.html 를 참조하여 Comersus Cart 버전 5.098 로 업그레이드 하여야 한다. |
| 관련 URL |
CVE-2004-0681 (CVE) |
| 관련 URL |
10674 (SecurityFocus) |
| 관련 URL |
16646 (ISS) |
|
