English

◀◁ 뒤로 취약점ID 21763 위험도 30 포트 80, ... 프로토콜 TCP 분류 CGI 상세설명 해당 FlatNuke 프로그램은 profile 기능작동 시의 user 인수를 통한 Cross-Site Scripting 취약점에 취약하다. FlatNuke는 데이터베이스 대신에 일반 텍스트에만 의존하는 PHP로 제작된 CMS(Content Management System)이다. FlatNuke 2.5.6을 포함한 다른 여러 버전들은 다중의 취약점들에 취약하다. 이 취약점들은 원격지의 공격자에 의해 디렉토리 탐색 혹은 Cross-Site Scripting 공격들을 수행하는 데 도용될 수 있다. 1) 디렉토리 탐색 취약점: "index.php" 스크립트에 있는 "user" 그리고 "quale" 인수들로 전달된 입력은 파일 내용을 보여 주는 데 사용되기 전에 적절하게 검증되지 않는다. 이는 디렉토리 탐색 공격들을 통해 임의의 파일들의 내용을 읽어 내는 데 도용될 수 있다. 2) 다중의 Cross-Site Scripting 취약점들: profile 기능작동 시의 "user" 인수와 login 기능작동 시의 "nome" 인수로 전달된 입력은 사용자에게 반환되어 지기 전에 적절하게 필터링되지 않는다. 이는 취약한 사이트의 환경 하에서 사용자의 브라우저 세션으로 임의의 HTML과 스크립트 코드를 실행하는데 도용될 수 있다. * 참고 사이트: http://marc.theaimsgroup.com/?l=bugtraq&m=113019486931157&w=2 http://marc.theaimsgroup.com/?l=bugtraq&m=113018940229407&w=2 http://secunia.com/advisories/17291/ * 영향을 받는 플랫폼: FlatNuke SourceForge Project, FlatNuke 2.5.6을 포함한 다른 여러 버전들 모든 운영체제 모든 버전 해결책 SourceForge.net 웹 사이트인 http://prdownloads.sourceforge.net/flatnuke/ 에서 최신버전의 FlatNuke(2.6 혹은 이후)을 구하여 업그레이드 하여야 한다. 관련 URL CVE-2005-3307,CVE-2005-3361 (CVE) 관련 URL (SecurityFocus) 관련 URL 22839,22841 (ISS)