English

◀◁ 뒤로 취약점ID 21333 위험도 30 포트 80, ... 프로토콜 TCP 분류 CGI 상세설명 해당 Moodle 소프트웨어는 'help.php' 스크립트 file 변수를 통한 Cross-Site Scripting 취약점에 취약하다. Moodle은 Microsoft Windows와 Unix 및 Linux 기반의 플랫폼들 상에서 동작하도록 제작된 PHP 기반의 오픈 소스 코스 관리 시스템(CMS, course management system)이다. Moodle 1.3.3 이전의 버전들에는 사용자 입력 데이터가 동적 웹 컨텐트 안에 포함되기 전, 애플리케이션에 의해 적절히 필터링되지 못하는 결함으로 인하여, 'help.php' 스크립트에 Cross-Site Scripting 취약점이 존재한다. 원격지 공격자들은 다음과 같이 잘 조작된 URL 링크를 생성하고 이를 대상 사용자가 클릭하도록 유도할 수 있다: http://[target_server]/help.php?file=<script>alert(document.cookie);</script> 이 URL이 클릭되면 삽입된 코드들은 대상 사용자의 웹 브라우저를 통해 실행될 수 있다. 이 취약점을 도용하면, 대상 사용자들의 쿠키(cookie)기반의 인증신용 정보 등을 훔칠 수 있다. * 참고 사이트: http://www.securitytracker.com/alerts/2004/Jul/1010697.html * 영향을 받는 플랫폼: moodle 1.1.1 moodle 1.2, 1.2.1 moodle 1.3, 1.3.1, 1.3.2 모든 운영체제 모든 버전 해결책 다음 Moodle의 다운로드 사이트에서 구할 수 있는 Moodle의 가장 최신 버전(1.3.3 혹는 이후)으로 업그레이드하여야 한다: http://download.moodle.org/ 관련 URL CVE-2004-0725 (CVE) 관련 URL 10718 (SecurityFocus) 관련 URL 16684 (ISS)