| 취약점ID |
21956 |
| 위험도 |
30 |
| 포트 |
80, ... |
| 프로토콜 |
TCP |
| 분류 |
CGI |
| 상세설명 |
해당 CubeCart 소프트웨어는 3.0.12 이전의 버전에 존재하는 다중의 취약점에 취약하다. Brooky CubeCart는 PHP와 MySQL로 제작된 전자 상거래를 위한 스크립트이다. CubeCart 3.0.12 이전의 버전들은 다음과 같은 SQL 주입과 Cross-site scripting에 취약하다:
1) SQL 주입 취약점: 원격지 공격자는 'confirmed.php' 스크립트의 'oid' 인수를 통한 잘 조작된 SQL 질의를 보냄으로써 이 취약점을 도용할 수 있다.
2) Cross-site scripting 취약점: 원격지 공격자가 'preview.php' 스크립트의 'file' 인수나 'login.php' 스크립트의 'email' 인수를 통한 잘 조작된 URL을 보냄으로써 이 취약점을 도용할 수 있다.
* 참고 사이트:
http://secunia.com/advisories/21538
http://www.securityfocus.com/archive/1/archive/1/443476/100/0/threaded
http://retrogod.altervista.org/cubecart_3011_adv.html
http://www.cubecart.com/site/forums/index.php?showtopic=21247
http://archives.neohapsis.com/archives/bugtraq/2006-08/0342.html
* 영향을 받는 플랫폼:
Brooky CubeCart 3.0.12 이전의 버전들
Linux Any version
Unix Any version |
| 해결책 |
CubeCart의 웹 사이트인 http://www.cubecart.com/ 에서 구할 수 있는 CubeCart의 가장 최신 버전(3.0.12 혹은 이후)으로 업그레이드 하여야 한다. |
| 관련 URL |
CVE-2006-4267,CVE-2006-4268 (CVE) |
| 관련 URL |
19563 (SecurityFocus) |
| 관련 URL |
28428,28429 (ISS) |
|
