English

◀◁ 뒤로 취약점ID 21493 위험도 40 포트 80, ... 프로토콜 TCP 분류 CGI 상세설명 해당 호스트는 2.0b4 이하의 paNews의 버전을 가동 중이다. paNews는 Linux, Unix 그리고 Microsoft Windows 운영체제 들을 위한 뉴스 관리 소프트웨어이다. paNews 2.0b4 이하의 버전들은 다음과 같은 취약점들에 취약하다: 1) comment.php에 있는 Cross-Site Scripting (XSS) 취약점은 원격지의 공격자들이 showpost 인수를 통해 임의의 HTML과 웹 스크립트를 주입시킬 수 있게 해 준다. 2) 'includes/admin_setup.php'에 있는 원격 PHP 스크립트 코드 실행 취약점은 원격지의 공격자들이 'showcopy' 인수를 통해 임의의 PHP 스크립트를 주입시킬 수 있게 해 준다. 3) 'includes/auth.php'의 'login' 메쏘드에 있는 SQL 주입 취약점은 원격지의 공격자들이 연동되어 있는 데이터베이스에 임의의 SQL 문법을 질의문 내에 주입시킬 수 있게 해 준다. 4) 'includes/admin_setup.php'에 있는 로컬 스크립트 주입 취약점은 원격지의 공격자들이 'admin_setup.php' 스크립트의 'comments' 그리고 'autapprove' 인수들을 통하여 임의의 PHP 스크립트 코드를 paNews의 config.php에 주입시킬 수 있게 해 준다. * 알림: 이 점검항목은 이 취약점을 점검하기 위해 해당 웹 서버 상에 설치된 paNews의 버전 정보만을 확인한다. 따라서 거짓 양성반응(False Positive)을 보일 수 있다. * 참고 사이트: http://archives.neohapsis.com/archives/bugtraq/2005-02/0239.html * 영향을 받는 플랫폼: PHP Arena, paNews 2.0b4 이하의 버전들 Microsoft Windows Any version Unix Any version Linux Any version 해결책 2014년 6월 현재 업그레이드나 패치는 나와 있지 않다. 보안을 위해 다른 솔루션으로 대체할 것을 권고한다. 관련 URL CVE-2005-0485 (CVE) 관련 URL 12576,12611,12687 (SecurityFocus) 관련 URL 19359 (ISS)