English

◀◁ 뒤로 취약점ID 21428 위험도 30 포트 80, ... 프로토콜 TCP 분류 CGI 상세설명 해당 FuseTalk에는 'tombstone.cfm' 스크립트 관련 Cross-site Scripting 취약점이 존재한다. e-Zone Media에서 개발된 FuseTalk 는 웹 기반의 포럼 패키지이다. FuseTalk Enterprise Edition 2와 가능한 다른 버전들에는 'tombstone.cfm' 스크립트에서 사용자 입력을 적절히 검사하지 못하여 Cross-site Scripting 취약점이 발생할 수 있다. 원격지 공격자들은 'ProfileID' 변수에 악의적인 스크립트 코드를 포함해서 'tombstone.cfm' 스크립트에 대한 잘 조작된 URL 링크를 생성하고 대상 사용자가 이를 클릭하도록 유도한다. 일단 URL 링크가 클릭되면, 삽입된 코드들은 대상 사용자의 웹 브라우저를 통해 실행될 수 있다. 원격지 공격자들은 이 취약점을 도용하여 사용자의 쿠키(cookie) 기반 인증 신용 정보들을 훔칠 수 있다. * 참고 사이트: http://www.osvdb.org/10752 http://securitytracker.com/alerts/2004/Oct/1011663.html * 영향을 받는 플랫폼: e-Zone Media, Inc., FuseTalk Enterprise Edition 2 모든 운영체제의 모든 버전들 해결책 FuseTalk은 더 이상 지원되지 않는다. 보안을 위해 다른 솔루션으로 대체할 것을 권고한다. 관련 URL (CVE) 관련 URL 11407 (SecurityFocus) 관련 URL 17706 (ISS)