English

◀◁ 뒤로 취약점ID 210084 위험도 30 포트 80, ... 프로토콜 TCP 분류 CGI 상세설명 해당 Sugar Suite 소프트웨어는 Module Builder에 있는 디렉토리 탐색 취약점에 취약하다. Sugar Suite는 PHP로 제작된 고객 관계 관리(CRM) 소프트웨어 패키지이다. Sugar Suite에 있는 Module Builder 버전 1.0은 'modules/Builder/DownloadModule.php' 스크립트의 'file' 인수로 전달된 사용자가 제공한 입력에 대한 부적절한 검증으로 인하여, 원격지의 공격자가 시스템 상에 있는 디렉토리들을 탐색할 수 있게 해 줄 수 있다. file 인수에 "dot dot" 시퀀스들(/../)과 NULL 문자(%00)가 뒤따르는 파일명을 포함한 DownloadModule.php 스크립트로의 잘 조작된 URL 요청을 보냄으로써, 원격지의 공격자는 이 취약점을 도용하여 웹 서버의 권한을 가지고 영향을 받는 호스트 상에 있는 임의의 파일들을 볼 수 있다. * 영향을 받는 플랫폼: ModuleBuilder 버전 1.0 모든 운영체제 모든 버전 해결책 2014년 6월 현재 업그레이드나 패치는 나와 있지 않다. 대안으로는 소스코드를 편집하여 입력을 적절하게 필터링하도록 하여야 한다. 관련 URL CVE-2007-5812 (CVE) 관련 URL (SecurityFocus) 관련 URL 38186 (ISS)