| 취약점ID |
21347 |
| 위험도 |
40 |
| 포트 |
80, ... |
| 프로토콜 |
TCP |
| 분류 |
CGI |
| 상세설명 |
해당 웹 서버에 설치되어 있는 phpGroupWare 버전에 따르면, phpGroupWare에는 원격 파일 포함 취약점이 존재한다.
Joseph Engo의 phpGroupWare 는 전자우편, 캘린더, To-Do 목록과 같은 기능을 포함하는 PHP 로 제작된 웹 기반의 그룹웨어 시스템이다. phpGroupWare 0.9.14.006 이전의 일부 버전들에는 'index.php' 스크립트 상에 전달되는 다양한 'Addressbook' 변수들을 적절히 검사하지 못하는 결함으로 인하여, 원격지 공격자들이 악의적인 PHP 스크립트를 포함하고 실행시킬 수 있는 취약점이 존재한다. 원격지 공격자들은 이 취약점을 도용하여 웹 서버의 권한으로 대상 사용자의 웹 브라우저를 통해서 임의의 PHP 코드를 실행할 수 있다.
* 알림: 이 점검항목은 이 취약점을 점검하기 위해 해당 phpGroupWare 버전 정보만을 확인한다. 따라서 거짓 양성반응(False Positive)을 보일 수 있다.
* 참고 사이트:
http://www.osvdb.org/2243
http://archives.neohapsis.com/archives/fulldisclosure/2003-q3/0032.html
* 영향을 받는 플랫폼:
Joseph Engo: phpGroupWare 0.9.14.005, 0.9.14.003
Joseph Engo: phpGroupWare 0.9.13
Joseph Engo: phpGroupWare 0.9.12
Linux Any version
Windows Any version
Unix Any version |
| 해결책 |
phpGroupWare 다운로드 사이트인 http://prdownloads.sourceforge.net/phpgroupware/ 에서 phpGroupWare의 가장 최신 버전(0.9.14.006 또는 그 이후)을 구하여 업그레이드 하여야 한다. |
| 관련 URL |
CVE-2003-0504 (CVE) |
| 관련 URL |
8265 (SecurityFocus) |
| 관련 URL |
12497 (ISS) |
|
