English

◀◁ 뒤로 취약점ID 21696 위험도 30 포트 80, ... 프로토콜 TCP 분류 CGI 상세설명 YaPiG의 버전 정보에 따르면 해당 소프트웨어에는 EXIF 데이터를 통한 스크립트 주입 취약점이 존재한다. YaPiG (Yet Another PHP Image Gallery)는 PHP로 제작된 공개 소스 이미지 갤러리 소프트웨어이다. YaPiG 버전 0.95b와 그 이전 버전들은 이미지 파일들에 저장된 악의적인 EXIF 데이터에 대한 부적절한 검증으로 인하여 스크립트 주입 공격들에 취약하다. 이 취약점은 원격지의 공격자가 악의적인 HTML과 스크립트 코드를 포함하는 취약한 어플리케이션으로의 악의적인 링크(link)를 만들게 해 줄 수 있다. 만약 이 링크를 따라가게 된다면 악의적인 코드가 희생자의 웹 브라우저에서 실행될 수 있다. 이것은 영향을 받는 웹 사이트의 보안 권한을 가지고 행해지며 쿠키 기반의 인증 신용정보를 빼내거나 다른 공격들의 수행을 허용할 수 있다. * 알림: 이 점검항목은 이 취약점을 점검하기 위해 해당 웹 서버 상에 설치된 YaPiG 소프트웨어의 버전 정보만을 확인한다. 따라서 거짓 양성반응(False Positive)을 보일 수 있다. * 참고 사이트: http://secunia.com/advisories/16596/ http://securitytracker.com/id?1014802 http://marc.theaimsgroup.com/?l=bugtraq&m=112511025414488&w=2 * 영향을 받는 플랫폼: SourceForge.net, YaPiG 버전 0.95b와 그 이전 버전들 모든 운영체제 모든 버전 해결책 2014년 6월 현재 업그레이드나 패치는 나와 있지 않다. YaPiG 홈 페이지인 http://yapig.sourceforge.net/index.php 에서 새롭게 수정된 버전이 다운로드 가능할 때 YaPiG의 가장 최신 버전을 구하여 업그레이드 하여야 한다. 관련 URL CVE-2005-2736 (CVE) 관련 URL 14670 (SecurityFocus) 관련 URL 22020 (ISS)