English

◀◁ 뒤로 취약점ID 21326 위험도 30 포트 80, ... 프로토콜 TCP 분류 CGI 상세설명 해당 웹서버에 설치된 PowerPortal에는 다수의 Cross-Site Scripting 취약점들이 존재한다. PowerPortal은 PHP로 제작된 유닉스 기반의 컨텐트 관리 시스템이다. PowerPortal 버전 1.x 시스템에는 사용자 입력 데이터에 대한 부적절할 필터링으로 인하여, 'module,php' 스크립트 상에서 다수의 Cross-Site Scripting 취약점들이 발생할 수 있다. 원격지 공격자들은 id, search, files 변수에 악의적인 스크립트 코드를 포함해서 잘 조작된 URL 링크를 생성하고 대상 사용자가 이를 클릭하도록 유도한다. 일단 URL 링크가 클릭되면, 삽입된 코드들은 대상 사용자의 웹 브라우저를 통해 실행될 수 있다. 원격지 공격자들은 이 취약점을 도용하여 사용자의 쿠키(cookie) 기반 인증 신용 정보들을 훔칠 수 있다. * 참고 사이트: http://archives.neohapsis.com/archives/fulldisclosure/2004-06/0905.html http://securitytracker.com/alerts/2004/Jun/1010596.html * 영향을 받는 플랫폼: PowerPortal 1.x Unix Any version 해결책 2014년 6월 현재 업그레이드나 패치는 나와 있지 않다. 취약점에 대해 제품의 제조사에 문의한다. 관련 URL CVE-2004-0663 (CVE) 관련 URL 10622 (SecurityFocus) 관련 URL 16528 (ISS)