English

◀◁ 뒤로 취약점ID 21355 위험도 30 포트 80, ... 프로토콜 TCP 분류 CGI 상세설명 해당 웹 서버 상의 Mantis 버전에 따르면, Mantis 시스템에는 다수의 Cross-Site Scripting 취약점이 존재한다. Mantis 는 후위 데이터베이스 시스템으로 MySQL 을 사용하는 무료로 사용 가능한 PHP 기반의 버그 추적 시스템이다. Mantis 0.19.0a와 그 이전 버전들에는 'signup.php', 'login_page.php', 'login_select_proj_page.php', 'view_all.set.php' 스크립트 상에서 사용자 입력에 대한 적절한 검사가 수행되지 못하여 다수의 Cross-Site Scripting 공격에 영향을 받을 수 있다. 원격지 공격자들은 악의적인 스크립트 코드를 포함해서 잘 조작된 URL 링크를 생성하고 대상 사용자가 이를 클릭하도록 유도한다. 일단 URL 링크가 클릭되면, 삽입된 코드들은 대상 사용자의 웹 브라우저를 통해 실행될 수 있다. 원격지 공격자들은 이 취약점을 도용하여 사용자의 쿠키(cookie) 기반 인증 신용 정보들을 훔칠 수 있다. * 알림: 이 점검항목은 이 취약점을 점검하기 위해 해당 웹 서버 상에 설치된 Mantis 버전 정보만을 확인한다. 따라서 거짓 양성반응(False Positive)을 보일 수 있다. * 참고 사이트: http://archives.neohapsis.com/archives/bugtraq/2004-08/0292.html * 영향을 받는 플랫폼: Mantis 0.19.0a 이하 버전들 Any operating system Any version 해결책 다음 Mantis 웹 사이트로부터 가장 최신 버전(0.19.0a2 또는 그 이후)을 구하여 업그레이드 하여야 한다: http://www.mantisbt.org/index.php 관련 URL CVE-2004-1730 (CVE) 관련 URL 10994 (SecurityFocus) 관련 URL 17066,17069,17070,17072 (ISS)