English

◀◁ 뒤로 취약점ID 21246 위험도 30 포트 80, ... 프로토콜 TCP 분류 CGI 상세설명 해당 웹서버에 설치된 SquirrelMail 패키지는 Cross-Site Scripting 공격(2)에 취약하다. SquirrelMail은 PHP로 제작된 웹 메일 패키지이다. SquirrelMail 버전 1.2.10 이하들에 있는 Cross-Site Scripting (XSS) 취약점은 원격지의 공격자들이 read_body.php을 통해 다른 웹 사용자들의 권한으로 스크립트를 실행시킬 수 있게 해 준다. read_body.php 스크립트는 'filter_dir' 와 'mailbox'에 대한 사용자 제공 입력값을 걸러내지 않아 Cross-Site Scripting 공격들에 취약하다. 공격자는 이 취약점을 도용하여, HTML email에 내장 스크립트 코드를 넣고 취약한 클라이언트에 의해 읽혀지게 하는 방법으로 임의의 스크립트를 실행시킬 수 있다. * 참고 사이트: http://marc.theaimsgroup.com/?l=bugtraq&m=103893844126484&w=2 http://marc.theaimsgroup.com/?l=bugtraq&m=103911130503272&w=2 http://marc.theaimsgroup.com/?l=bugtraq&m=104004924002662&w=2 * 영향을 받는 소프트웨어: SquirrelMail 1.2.10 이하 해결책 비록 이 결함에 대한 업그레이드들이 릴리즈 되었지만, 최근에 또 다른 보안상의 결함들이 발견되어 왔다. SquirrelMail 패키지들의 공식 웹 사이트인 http://www.squirrelmail.org/ 로부터 SquirrelMail의 가장 최신 버전 (1.4.0 이상)을 구하여 업그레이드 하여야 한다. 관련 URL CVE-2002-1341 (CVE) 관련 URL 6302 (SecurityFocus) 관련 URL (ISS)