| 취약점ID |
21479 |
| 위험도 |
30 |
| 포트 |
80, ... |
| 프로토콜 |
TCP |
| 분류 |
CGI |
| 상세설명 |
해당 XOOPS의 Incontent 모듈은 index.php 스크립트에 있는 디렉토리 탐색 취약점에 취약하다. XOOPS Incontent는 XOOPS를 위한 모듈로 XOOPS는 PHP로 작성된 동적 객체 지향 기반의 공개 소스 포털 시스템이다. XOOPS Incontent 모듈 버전 3.0을 포함한 여러 버전들은 /modules/incontent/ 디렉토리의 "index.php" 스크립트에 있는 입력값 검증 오류로 인하여 원격 디렉토리 탐색 취약점에 취약하다. "dot dot" 시퀀스들( ../../ 형태)을 포함하는 잘 조작된 요청을 보냄으로써, 원격지의 공격자는 웹 root의 외부에 위치한 디렉토리들을 탐색하고 웹 서버 권한으로 읽기 가능한 파일들의 내용을 볼 수 있다.
* 영향을 받는 플랫폼:
XOOPS Incontent 버전 3.0을 포함한 여러 버전들
Microsoft Windows Any version
Linux Any version
Unix Any version |
| 해결책 |
2014년 6월 현재 업그레이드나 패치는 나와 있지 않다.
XOOPS Incontent 모듈의 다운로드 웹 사이트인 http://www.xoops.org/modules/news/article.php?storyid=415 에서 새롭게 수정된 버전이 다운로드 가능할 때 XOOPS Incontent 모듈의 수정된 버전을 구하여 업그레이드 하여야 한다. |
| 관련 URL |
(CVE) |
| 관련 URL |
12406 (SecurityFocus) |
| 관련 URL |
(ISS) |
|
