English

◀◁ 뒤로 취약점ID 210114 위험도 30 포트 80, ... 프로토콜 TCP 분류 CGI 상세설명 해당 Mambo Open Source는 MOStlyCE 구성요소의 'connector.php' 스크립트에 있는 다중의 취약점들에 취약한 것으로 나타난다. Mambo Open Source(예전에는 Mambo Site Server로 불림)는 인터넷 포털 및 콘텐츠 관리 소프트웨어이다. MOStlyContent Editor (MOStlyCE)는 Mambo를 위한 디폴트 WYSIWYG 편집기이다. Mambo 4.6.3에 포함된 MOStlyCE 2.4는 다중의 취약점들에 취약하다. 이 문제들은 사용자가 제공한 데이터를 처리할 때 "mambots/editors/mostlyce/jscripts/tiny_mce/filemanager/connectors/php/connector.php" 스크립트에 있는 입력 검증 오류들에서 기인하다. 이 취약점들은 공격자들에 의해 임의의 파일을 삭제하거나, 민감한 정보를 알아내거나, Mambo의 설정 파일의 이름을 변경하거나, 혹은 영향을 받는 웹 사이트의 환경하에서 임의의 스크립팅 코드가 사용자 브라우저에 의해 실행될 수 있게 하는데 도용될 수 있다. * 참고 사이트: http://archives.neohapsis.com/archives/bugtraq/2008-01/0386.html http://secunia.com/advisories/28670 * 영향을 받는 플랫폼: Mamboserver, Mambo Open Source 버전 4.6.3과 그 이전의 버전들 Mambo MOStlyCE 버전 2.4를 포함한 여러 버전들 모든 운영체제 모든 버전 해결책 다음 Mambo 보안 공지를 참조하여 MOStlyCE의 가장 최신 버전(3.0 혹은 이후)으로 업그레이드 하여야 한다: http://sourceforge.net/projects/mostlyce/ 차선책으로 "mambots/editors/mostlyce/jscripts/tiny_mce/filemanager/connectors/php/connector.php" 스크립트로의 액세스를 제한한다. (예를 들어, ".htaccess" 를 사용하여) 관련 URL CVE-2008-7215 (CVE) 관련 URL 27472 (SecurityFocus) 관련 URL 39986 (ISS)