English

◀◁ 뒤로 취약점ID 21173 위험도 20 포트 80, ... 프로토콜 TCP 분류 CGI 상세설명 해당 'agora.cgi' CGI는 cross-site scripting 취약점을 가지고 있다. Agora.cgi는 자유롭게 사용할 수 있는 전자상거래 쇼핑 Cart용 공개 소스 프로그램이다. Agora.cgi는 디버깅 모드의 입력 타당성 검사과정의 문제로 HTML 태그들을 적절하게 필터해 내지 못함으로써 cross-site scripting 공격에 취약하다. 디버그 모드는 디폴트로는 작동되지 않으며 관리자가 인위적으로 전환시켜야 한다. 이 취약점을 이용하여 공격자는 악의적으로 만들어진 스크립트 코드를 포함하는 스크립트로의 링크를 만들어 놓을 수 있다. 그 링크가 웹 사용자에 의해 클릭될 때 악의적으로 만들어 놓은 그 스크립트 코드가 Agora.cgi를 운영중인 사이트의 문맥에서 클라이언트에 의해 실행될 것이다. 이 문제점은 공격자가 cookie 기반의 인증 신용정보들을 훔쳐낼 수 있어 공격자들에게 어떤 Agora.cgi 세션을 가로채게 하여 합법적인 사용자로서 행사할 수 있도록 도용될 수도 있다. 이 취약점은 디버그 모드가 설정되어 있을 경우에만 존재한다. Agora.cgi 4.0e는 취약하지 않다. * 영향을 받는 플랫폼: Web Server 해결책 다음 사이트로부터 Agora.cgi의 가장 최신 버전 (4.0e 혹은 그 이후)으로 업그레이드 하여야 한다. http://agoracart-aka-agora-cgi.downloadaces.com/ 관련 URL CVE-2001-1199 (CVE) 관련 URL 3702 (SecurityFocus) 관련 URL 7708 (ISS)