English

◀◁ 뒤로 취약점ID 21843 위험도 30 포트 80, ... 프로토콜 TCP 분류 CGI 상세설명 PostNuke 소프트웨어의 설치된 버전은 0.762 이전의 어떤 버전인 것으로 나타난다. Francisco Burzi 에 의해 개발된 PostNuke는 무료로 사용 가능한 공개 소스 PHP 기반의 컨텐츠 관리 시스템 (CMS)이다. PostNuke 0.762 이전의 버전들은 다중의 입력 검증 취약점들에 취약하다. 이 취약점들은 원격지의 공격자에 의해 Cross-Site Scripting과 SQL 주입 공격들을 수행하는 데 도용될 수 있다. 1) PostNuke의 NS-Languages 모듈에 있는 SQL 주입 취약점은 magic_quotes_gpc 옵션이 사용 안함으로 되어 있을 때, 원격지의 공격자가 language 인수를 통해 임의의 SQL 명령들을 실행시킬 수 있게 해 준다. 2) Cross-Site Scripting (XSS) 취약점: 이 취약점은 원격지의 공격자가 user.php에 있는 "htmltext" 인수 그리고 NS-Languages 모듈에 있는 "language" 인수를 통해 임의의 웹 스크립트나 HTML을 주입시킬 수 있게 해 준다. * 참고 사이트: http://news.postnuke.com/index.php?name=News&file=article&sid=2754 http://securityreason.com/achievement_securityalert/33 http://securityreason.com/securityalert/454 http://lists.grok.org.uk/pipermail/full-disclosure/2006-February/042360.html http://archives.neohapsis.com/archives/fulldisclosure/2006-02/0469.html http://secunia.com/advisories/18937/ * 영향을 받는 플랫폼: Francisco Burzi, PostNuke 버전 0.761과 그 이전의 버전들 모든 운영체제 모든 버전 해결책 다음 PostNuke 다운로드 웹 페이지에서 구할 수 있는 PostNuke의 가장 최신 버전(0.762 혹은 이후)으로 업그레이드 하여야 한다. http://sourceforge.net/projects/post-nuke/ 관련 URL CVE-2006-0801,CVE-2006-0802 (CVE) 관련 URL 16752 (SecurityFocus) 관련 URL 24823,24827 (ISS)