English

◀◁ 뒤로 취약점ID 21409 위험도 30 포트 80, ... 프로토콜 TCP 분류 CGI 상세설명 해당 CuteNews 프로그램에는 'mod' 변수 관련 Cross-Site Scripting 취약점이 존재한다. CuteNews는 데이터베이스로의 저장 형태로 개별 파일들을 사용하는 PHP 기반의 뉴스 관리 소프트웨어로서 무료로 사용 가능하다. CuteNews 1.3.6 과 그 이전 버전들에는 애플리케이션이 사용자 입력 데이터를 적절히 필터링하지 못하여 Cross-Site Scripting 취약점이 발생할 수 있다. 원격지 공격자들은 'mod' 변수에 악의적인 스크립트 코드를 포함해서 'index.php' 스크립트에 대한 잘 조작된 URL 링크를 생성하고 대상 사용자가 이를 클릭하도록 유도한다. 일단 URL 링크가 클릭되면, 삽입된 코드들은 대상 사용자의 웹 브라우저를 통해 실행될 수 있다. 원격지 공격자들은 이 취약점을 도용하여 사용자의 쿠키(cookie) 기반 인증 신용 정보들을 훔칠 수 있다. * 참고 사이트: http://www.osvdb.org/9558 * 영향을 받는 플랫폼: CuteNews 1.3.6 과 그 이전 버전들 Linux 모든 버전들 Unix 모든 버전들 Microsoft Windows 모든 버전들 해결책 다음 CutePHP 웹 사이트를 참고하여 최신 버전의 CutePHP로 업그레이드 해야 한다. http://cutephp.com/ 관련 URL CVE-2004-1659 (CVE) 관련 URL 11097 (SecurityFocus) 관련 URL 17214 (ISS)