English

◀◁ 뒤로 취약점ID 21627 위험도 40 포트 80, ... 프로토콜 TCP 분류 CGI 상세설명 해당 ProductCart 소프트웨어는 다중의 입력 검증 취약점들(1)에 취약하다. ProductCart는 Microsoft Windows 운영체제들을 위한 ASP로 제작된 전자상거래 Shopping Cart 프로그램이다. ProductCart 1.0에서 2.0까지의 버전들은 다중의 입력 검증 취약점들에 취약하다. 이 취약점들은 원격지의 공격자들에 의해 정보 노출, Cross-Site Scripting 그리고 SQL 주입 공격들을 수행하는 데 도용될 수 있다. 1) ProductCart 1.0에서 2.0까지의 버전들에 있는 정보 노출 취약점은 안정하지 않은 퍼미션을 가진 EIPC.mdb 데이터베이스 파일에 대한 잘 조작된 HTTP 요청을 보냄으로써 원격지의 공격자가 관리자의 패스워드 그리고 고객 정보와 같은 민감한 정보를 가져갈 수 있게 해 준다. 2) ProductCart 1.5에서 2.0까지의 버전들에 있는 다중의 SQL 주입 취약점들은 원격지의 공격자가 login.asp로의 idadmin 인수를 통한 admin 제어판에 대한 액세스 얻거나 혹은 Custva.asp로의 Email 인수를 통한 다른 권한을 얻어내도록 해 준다. 3) ProductCart 1.5 이하의 버전들에 있는 msg.asp의 Cross-Site Scripting (XSS) 취약점은 원격지의 공격자가 message 인수를 통해 임의의 웹 스크립트를 실행시킬 수 있게 해 준다. * 참고 사이트: http://www.securiteam.com/windowsntfocus/5DP0420AKG.html http://archives.neohapsis.com/archives/bugtraq/2003-07/0030.html http://archives.neohapsis.com/archives/bugtraq/2003-07/0064.html http://archives.neohapsis.com/archives/bugtraq/2003-07/0113.html * 영향을 받는 플랫폼: EarlyImpact, ProductCart 1.0에서 2.0까지의 버전들 Microsoft Windows Any version 해결책 EarlyImpact 웹 사이트인 http://www.earlyimpact.com 에서 구할 수 있는 ProductCart의 가장 최신 버전(2.0 혹은 이후)으로 업그레이드 하여야 한다. 관련 URL CVE-2003-0522,CVE-2003-0523 (CVE) 관련 URL 8103,8105,8108,8112 (SecurityFocus) 관련 URL 12515,12517,12524 (ISS)