English

◀◁ 뒤로 취약점ID 21391 위험도 30 포트 80, ... 프로토콜 TCP 분류 CGI 상세설명 해당 Invision Power Board 에는 'Referer' 헤더 관련 Cross-Site Scripting 취약점이 존재한다. Invision Power Board 는 Invision Power Services 사에서 배포하는 PHP 기반의 웹 포럼(forum) 소프트웨어 패키지이다. Invision Power Board 2.0 버전에는 Cross-Site Scripting 취약점이 존재하는데, 이는 애플리케이션이 'index.php' 스크립트 상에서 'Referer' 헤더에 전달되는 사용자 입력 데이터에 대해 올바른 필터링을 수행하지 못하는 데 그 원인이 있다. 원격지 공격자들은 악의적인 스크립트 코드를 포함해서 이 취약한 스크립트에 대한 잘 조작된 URL 링크를 생성하고 대상 사용자가 이를 클릭하도록 유도한다. 일단 URL 링크가 클릭되면, 삽입된 코드들은 대상 사용자의 웹 브라우저를 통해 실행될 수 있다. 원격지 공격자들은 이 취약점을 도용하여 사용자의 쿠키(cookie) 기반 인증 신용 정보들을 훔칠 수 있다. * 참고 사이트: http://www.osvdb.org/10512 http://archives.neohapsis.com/archives/fulldisclosure/2004-10/0100.html * 영향을 받는 플랫폼: Invision Power Board 2.0 모든 운영체제의 모든 버전 해결책 2014년 06월 현재 업그레이드나 패치는 나와 있지 않다. Invision Power Board 웹 사이트인 http://www.invisionboard.com 에서 문제가 해결된 새 버전이 다운로드 가능할 때 Invision Power Board의 새 버전을 구하여 업그레이드 하여야 한다. 관련 URL CVE-2004-1578 (CVE) 관련 URL 11332 (SecurityFocus) 관련 URL 17604 (ISS)