English

◀◁ 뒤로 취약점ID 21565 위험도 40 포트 80, ... 프로토콜 TCP 분류 CGI 상세설명 해당 phpCOIN 소프트웨어는 다중의 입력 검증 취약점들에 취약하다. phpCOIN는 고객, 주문, 송장, 노트, 헬프데스크들을 취급할 수 있도록 웹 호스팅 판매업자들을 위해 고안된 무료 소프트웨어 패키지이다. phpCOIN의 1.2.1b 이하의 버전들은 다음과 같은 다중의 입력 검증 취약점들에 취약하다: 1) 로컬 파일 Include 취약점: 공격자는 'auxpage.php' 스크립트의 'page' 인수를 통하여 스크립트나 파일의 이름을 전달함으로써 웹 서버 사용자의 권한으로 임의의 코드를 실행할 수 있다. 2) 다중의 Cross-Site Scripting 취약점들: 'helpdesk' 그리고 'mail' 모듈들 뿐만 아니라 'login.php' 스크립트로 건네진 사용자 제공 입력은 사용자들에게 반환되기 전에 적절하게 필터링되지 않는다. 이는 취약한 사이트의 환경 하에서 사용자의 브라우저 세션으로 임의의 HTML과 스크립트 코드를 실행하는데 도용될 수 있다. 3) 다중의 SQL 주입 취약점들: 잘 조작된 'faq_id' 인수를 가지고 'faq' 모듈들을 호출하거나 잘 조작된 'id' 인수를 가지고 'site' 모듈들 호출함으로써, 원격지의 공격자는 웹 서버의 데이터베이스에 대해 임의의 SQL 질의들을 실행할 수 있다. * 참고 사이트: http://secunia.com/advisories/14439/ http://lostmon.blogspot.com/2005/03/phpcoin-posible-sql-injection-comands.html http://archives.neohapsis.com/archives/bugtraq/2005-03/0508.html http://www.securitytracker.com/alerts/2005/Mar/1013592.html * 영향을 받는 플랫폼: phpCOIN의 1.2.1b 이하의 버전들 모든 운영체제 모든 버전 해결책 phpCOIN의 웹 사이트인 http://www.phpcoin.com/index.php 에서 구할 수 있는 phpCOIN의 가장 최신 버전(1.2.2 혹은 이후)으로 업그레이드 하여야 한다. 관련 URL CVE-2005-0669,CVE-2005-0670,CVE-2005-0932,CVE-2005-0933,CVE-2005-0946,CVE-2005-0947 (CVE) 관련 URL 12686,12917 (SecurityFocus) 관련 URL 19571,19572,19896 (ISS)