| 취약점ID |
21795 |
| 위험도 |
30 |
| 포트 |
80, ... |
| 프로토콜 |
TCP |
| 분류 |
CGI |
| 상세설명 |
해당 Exponent CMS 프로그램은 module 인수에 있는 다중의 Cross-Site Scripting 취약점들에 취약하다. Exponent CMS는 PHP로 제작된 공개 소스 웹 기반의 콘텐트 관리 시스템(CMS) 이다. Exponent CMS 버전 0.95는 index.php와 mod.php 스크립트들의 module 인수로 전달된 사용자가 제공한 입력에 대한 부적절한 검증으로 인하여 Cross-Site Scripting 공격들에 취약하다. 이 취약점들은 원격지의 공격자가 악의적인 HTML과 스크립트 코드를 포함하는 취약한 어플리케이션으로의 악의적인 링크(link)를 만들게 해 줄 수 있다. 만약 이 링크를 따라가게 된다면 악의적인 코드가 희생자의 웹 브라우저에서 실행될 수 있다. 이것은 영향을 받는 웹 사이트의 보안 권한을 가지고 행해지며 쿠키 기반의 인증 신용정보를 빼내거나 다른 공격들의 수행을 허용할 수 있다.
* 참고 사이트:
http://archives.neohapsis.com/archives/bugtraq/2005-01/0261.html
http://secunia.com/advisories/13988/
* 영향을 받는 플랫폼:
James Hunt and the OIC Group 사, Exponent 0.95
모든 운영체제 모든 버전 |
| 해결책 |
SourceForge.net Downloads 웹 사이트인 http://sourceforge.net/project/showfiles.php?group_id=118524 에서 구할 수 있는 Exponent CMS의 가장 최신 버전(0.96.4 혹은 이후)으로 업그레이드 하여야 한다. |
| 관련 URL |
CVE-2005-0309 (CVE) |
| 관련 URL |
12358 (SecurityFocus) |
| 관련 URL |
19061 (ISS) |
|
