English

◀◁ 뒤로 취약점ID 21617 위험도 40 포트 80, ... 프로토콜 TCP 분류 CGI 상세설명 해당 PostNuke 소프트웨어는 다중의 스크립트들에 있는 다중의 취약점들(2)에 취약하다. Francisco Burzi 에 의해 개발된 PostNuke는 무료로 사용 가능한 공개 소스 PHP 기반의 컨텐츠 관리 시스템 (CMS)이다. PostNuke 0.760-RC4a 이하의 버전들은 다음과 같은 다중의 취약점들에 취약하다: 1) 다중의 원격 코드 주입 취약점들: 원격지의 공격자는 이 취약점들을 도용하여 영향을 받는 호스트 상에 있는 임의의 파일들을 읽어 가거나 혹은 임의의 PHP 코드를 주입시킬 수 있다. 2) 다중의 SQL 주입 취약점들: 원격지의 공격자는 이 취약점들을 도용하여 PostNuke에 의해 사용되는 데이터베이스에 사용자 정보를 추가, 수정, 혹은 삭제할 수 있다. 3) 다중의 Cross-Site Scripting 취약점들: 원격지의 공격자는 이 취약점들을 도용하여 쿠키 기반의 인증 신용정보를 빼내는 것과 같은 여러가지 공격들을 수행할 수 있다. 4) 다중의 경로명 노출 취약점들: 원격지의 공격자는 다수의 스크립트들에 잘 조작된 HTTP 요청을 보내 서버가 PostNuke의 완전한 설치 경로명을 포함한 에러 메시지를 반환하도록 할 수 있다. * 참고 사이트: http://archives.neohapsis.com/archives/bugtraq/2005-05/0254.html http://archives.neohapsis.com/archives/bugtraq/2005-05/0255.html http://archives.neohapsis.com/archives/bugtraq/2005-05/0256.html http://archives.neohapsis.com/archives/fulldisclosure/2005-05/0364.html * 영향을 받는 플랫폼: Francisco Burzi, PostNuke 0.760-RC4a 이하의 버전들 모든 운영체제 모든 버전 해결책 PostNuke는 더 이상 지원되지 않는다. 다른 솔루션으로 대체할 것을 권고한다. 관련 URL CVE-2005-1621,CVE-2005-1694,CVE-2005-1695,CVE-2005-1696,CVE-2005-1697,CVE-2005-1698,CVE-2005-1699,CVE-2005-1700,CVE-2005-1777,CVE-2005-1778 (CVE) 관련 URL 13706,13789 (SecurityFocus) 관련 URL 20600,20694,20695,20696,20697,20699,20702 (ISS)