English

◀◁ 뒤로 취약점ID 21620 위험도 40 포트 80, ... 프로토콜 TCP 분류 CGI 상세설명 e107 웹사이트 시스템의 버전 정보에 따르면 해당 시스템에는 images.php 스크립트에 있는 파일 업로드 취약점이 존재한다. e107은 무료로 사용 가능한 PHP로 제작된 웹 콘텐트 관리 시스템이다. e107 0.616 이하의 버전들은 원격지의 공격자가 영향을 받는 호스트 상에 임의의 파일들을 업로드할 수 있게 해 줄 수 있다. 문제는 "images.php" 스크립트에 있는 Image Manager를 통하여 임의의 파일 확장자를 가진 이미지들이 업로드될 수 있다는 것이다. 이것은 웹 root 이하의 디렉토리에 악의적인 스크립트 파일들(예를 들어, PHP 스크립트들)을 업로드하는 데 도용될 수 있다. 원격지의 공격자는 이 취약점을 도용하여 악의적인 PHP 파일들을 업로드함으로써 웹 서버의 환경 하에서 임의의 코드를 실행할 수 있다. * 알림: 이 점검항목은 이 취약점을 점검하기 위해 해당 웹 서버 상에 설치된 e107 버전 정보만을 확인한다. 따라서 거짓 양성반응(False Positive)을 보일 수 있다. * 참고 사이트: http://e107.org/comment.php?comment.news.672 http://securitytracker.com/alerts/2004/Dec/1012657.html http://secunia.com/advisories/13657/ * 영향을 받는 플랫폼: e107 0.616 이하의 버전들 모든 운영체제 모든 버전 해결책 e107 웹 사이트인 http://www.e107.org 에서 구할 수 있는 e107의 가장 최신 버전(0.617 혹은 이후)으로 업그레이드 하여야 한다. 관련 URL CVE-2004-2262 (CVE) 관련 URL 12111 (SecurityFocus) 관련 URL 18670 (ISS)