보안솔루션, 보안컨설팅의 최강자! 종합보안회사 시큐아이

취약점ID	21162
위험도	40
포트	80, ...
프로토콜	TCP
분류	CGI
상세설명	해당 웹서버는 PHP-Nuke (bb_smilies.php)에 있는 보안상의 문제에 취약하다. 그 취약점은 PHP-Nuke의 bb_smilies.php에 의한 질의를 부적절하게 처리함으로써 발생하며, 그결과 웹서버의 권한으로 서버내의 임의의 파일을 볼 수 있다. 또한 그 PHP 프로그램에 있는 유사한 취약점은 bb_smilies의 관리자의 패스워드를 변경함으로써 웹서버의 권한으로 임의의 명령을 수행할 수 있도록 해 준다. * 영향을 받는 플랫폼: PHP-Nuke
해결책	bb_smilies.php 과 bbcode_ref.php에 있는 다음 라인들을 수정해야 한다. if ($userdata[9] != ') $themes = 'themes/$userdata[9]/theme.php'; else $themes = 'themes/$Default_Theme/theme.php'; * 다음 라인으로 수정 if ($userdata[9] != ') $themes = 'themes/$userdata[9]/theme.php'; else $themes = 'themes/$Default_Theme/theme.php'; if ( !(strstr(basename($themes),'theme.php')) \|\| !(file_exists($themes)) ){ echo 'Invalid Theme'; exit;} include ('$themes'); 혹은 가장 최신 버전인 버전 4.4.1 이상으로 업그레이드 해야 한다.
관련 URL	CVE-2001-0320 (CVE)
관련 URL	2422 (SecurityFocus)
관련 URL	6183 (ISS)