English

◀◁ 뒤로 취약점ID 21550 위험도 30 포트 80, ... 프로토콜 TCP 분류 CGI 상세설명 해당 PostNuke 소프트웨어는 다중의 입력 검증 취약점들에 취약하다. Francisco Burzi 에 의해 개발된 PostNuke는 무료로 사용 가능한 공개 소스 PHP 기반의 컨텐츠 관리 시스템 (CMS)이다. PostNuke 0.760-RC3 이하의 버전들은 다중의 입력 검증 취약점들에 취약하다. 이 취약점들은 원격지의 공격자들에 의해 Cross-Site Scripting과 SQL 주입 공격들을 수행하는데 도용될 수 있다. 1) 'user.php' 스크립트에 있는 'op' 인수와 'admin.php' 스크립트의 'module' 인수로 건네진 입력은 사용자들에게 반환되기 전에 적절하게 필터링되지 않는다. 이는 취약한 사이트의 환경 하에서 사용자의 브라우저 세션으로 임의의 HTML과 스크립트 코드를 실행하는데 도용될 수 있다. 2) 'modules.php' 스크립트에 있는 'sid' 인수로 건네진 입력은 SQL 질의로 사용되기 전에 적절하게 필터링되지 않는다. 이는 임의의 SQL 코드를 주입함으로써 SQL 질의들을 조작하는데 도용될 수 있다. * 참고 사이트: http://secunia.com/advisories/14868/ * 영향을 받는 플랫폼: Francisco Burzi, PostNuke 0.760 RC3 이하의 버전들 모든 운영체제 모든 버전 해결책 http://webscripts.softpedia.com/script/Portal-Systems/PostNuke-532.html 에서 문제가 해결된 버전이 다운로드가 가능하지만 PostNuke는 더 이상 지원되지 않는다. 보안을 위해 다른 솔루션으로 대체할 것을 권고한다. 관련 URL CVE-2005-1048,CVE-2005-1049,CVE-2005-1050 (CVE) 관련 URL 13075,13076,13077 (SecurityFocus) 관련 URL 20018,20019 (ISS)