English

◀◁ 뒤로 취약점ID 21788 위험도 30 포트 80, ... 프로토콜 TCP 분류 CGI 상세설명 해당 GuppY 프로그램은 pg 인수에 있는 Cross-Site Scripting 취약점에 취약하다. GuppY와 Easy GuppY는 구동하는 데에 있어 데이터베이스를 필요로 하지 않는, PHP로 제작된 CMS(Content Management System)이다. GuppY 4.5.3a 이하 버전들과 Easy GuppY 4.5.5 이하 버전들은 다음과 같이 디렉토리 탐색 및 Cross-Site Scripting 취약점들에 취약하다: 1) Cross-Site Scripting 취약점: 'printfaq.php' 스크립트의 'pg' 인수에 전달된 입력은 사용되기 전에 적절하게 필터링이 되지 않는다. 이 취약점은 임의의 HTML과 스크립트 코드를 주입하는데 도용될 수 있으며 이는 악의적인 사용자 데이터가 보여지는 시점에 영향을 받는 사이트의 환경 하에서 사용자의 브라우저 세션으로 실행되게 한다. 2) EasyGuppY 디렉토리 탐색 취약점: 이 취약점은 원격지의 공격자가 웹 root의 외부에 있는 파일을 볼 수 있게 해 줄 수 있다. "dot dot" 시퀀스(/../)들을 포함하는 잘 조작된 HTTP POST 요청을 보냄으로써, 원격지의 공격자는 디렉토리들을 탐색하고 웹 서버에 있는 임의의 파일을 볼 수 있다. * 참고 사이트: http://secunia.com/advisories/16707 http://www.osvdb.org/19242 * 영향을 받는 플랫폼: GuppY 4.5.3a 이하의 버전들 Easy GuppY 4.5.5 이하의 버전들 모든 운영체제 모든 버전 해결책 GuppY의 웹 사이트인 http://www.freeguppy.org/fgy5dn.php?lng=en&tconfig=0 에서 구할 수 있는 GuppY의 가장 최신 버전(4.5.4 혹은 이후), 혹은 Easy GuppY의 가장 최신 버전(4.5.6a 혹은 이후)으로 업그레이드 하여야 한다. 관련 URL CVE-2005-2853 (CVE) 관련 URL 14752,14984 (SecurityFocus) 관련 URL 22133,22720 (ISS)