English

◀◁ 뒤로 취약점ID 21327 위험도 30 포트 80, ... 프로토콜 TCP 분류 CGI 상세설명 해당 웹 서버 상의 EasyWeb FileManager 모듈은 디렉토리 탐색 취약점을 가지고 있다. EasyWeb FileManager 모듈은 PostNuke 상에서 사이트 관리자에 의해 할당된 디렉토리 안의 파일 및 디렉토리들을 관리하기 위해 설계된 모듈이다. EasyWeb FileManager 1.0 RC-1은 사용자 입력 데이터에 대한 불충분한 필터링으로 인하여, 대상 시스템 상에 임의의 파일들을 원격지 공격자들이 볼 수 있도록 허용할 수 있다. 원격지 공격자들은 다음과 같이 'pathext', 'view' 변수에 잘 조작된 값을 포함한 요청을 'ew_filemanager' 스크립트에 전달하는 방법으로, 대상 웹 서비스의 권한으로 원격지 시스템 상의 파일들을 볼 수 있다: /index.php?module=ew_filemanager&type=admin&func=manager&pathext=../../../etc /index.php?module=ew_filemanager&type=admin&func=manager&pathext=../../../etc/&view=passwd * 알림: 이 점검항목은 이 취약점을 점검하기 위해서 실제 테스트를 수행하지 않으며 단지 웹 서버 상에서 EasyWeb FileManager 모듈의 가동여부 만을 확인한다. 따라서, 거짓 양성반응(False Positive)을 보일 수 있다. * 참고 사이트: http://www.cirt.net/EasyWeb+FileManager+Directory+Traversal http://www.securitytracker.com/alerts/2004/Jul/1010768.html * 영향을 받는 플랫폼: EasyWeb EasyWeb 1.0 RC-1 Linux Any version Unix Any version Microsoft Windows Any version 해결책 2014년 6월 현재 업그레이드나 패치는 나와 있지 않다. 취약점에 대해 제품의 제조사에 문의한다. 관련 URL CVE-2004-2047 (CVE) 관련 URL 10792 (SecurityFocus) 관련 URL 16806 (ISS)