English
◀◁ 뒤로
취약점ID 21345
위험도 30
포트 80, ...
프로토콜 TCP
분류 CGI
상세설명 해당 웹 서버에 설치되어 있는 phpMyFAQ 프로그램 버전에 따르면, phpMyFAQ 프로그램에는 Image Manager 인증 우회 취약점이 존재한다.
phpMyFAQ는 Microsoft Windows 운영체제 상에서 운영되는 무료로 사용 가능한 FAQ 프로그램으로서, MySQL 데이터베이스를 사용한다. phpMyFAQ 버전 1.4.0 과 그 이전 버전들에는 이미지 업로드를 위해 사용하는 Image Manager를 임의의 사용자들이 아무런 인증절차 없이 액세스할 수 있는 취약점이 존재한다. 이는 Image Manger 플러그 인에서 사용자 인증 검사가 올바르게 이루어지지 않는 데 그 원인이 있다. 원격지 공격자들은 인증 절차를 우회하여 웹 서버에 이미지를 업로드하고 삭제하기 위해 이 취약점을 도용할 수 있다.

* 알림: 이 점검항목은 이 취약점을 점검하기 위해 해당 phpMyFAQ 프로그램 버전 정보만을 확인한다. 따라서 거짓 양성반응(False Positive)을 보일 수 있다.

* 참고 사이트:
http://www.phpmyfaq.de/advisory_2004-07-27.php
http://www.osvdb.org/8240

* 영향을 받는 플랫폼:
Thorsten Rinne, PhpMyFAQ 1.4.0 이하
Microsoft Windows Any version
해결책 phpMyFAQ 다운로드 사이트인 http://www.phpmyfaq.de/download.php에서 구할 수 있는 phpMyFAQ의 가장 최신 버전 (1.4.0a 혹은 이후)으로 업그레이드 하여야 한다.
관련 URL CVE-2004-2257 (CVE)
관련 URL 10813 (SecurityFocus)
관련 URL 16814 (ISS)