English

◀◁ 뒤로 취약점ID 21868 위험도 30 포트 80, ... 프로토콜 TCP 분류 CGI 상세설명 해당 CuteNews는 'archive' 인수를 통한 디렉토리 탐색 취약점에 취약하다. CutePHP CuteNews는 데이터베이스로의 저장 형태로 개별 파일들을 사용하는 PHP 기반의 뉴스 관리 소프트웨어로서 무료로 사용 가능하다. CutePHP CuteNews 버전 1.4.1과 그 이전의 버전들은 inc/function.php 스크립트에 있는 디렉토리 탐색 취약점에 취약하다. 'archive' 인수에 "dot dot" 시퀀스들(/../)을 포함하는 inc/function.php 스크립트로의 잘 조작된 HTTP POST 혹은 COOKIE 요청을 보냄으로써, 원격지의 인증받지 않은 공격자는 웹 서비스의 권한을 가지고 웹 root 디렉토리 외부의 임의의 파일들을 볼 수 있다. * 참고 사이트: http://secunia.com/advisories/19289/ * 영향을 받는 플랫폼: CutePHP CuteNews 버전 1.4.1과 그 이전의 버전들 모든 운영체제 모든 버전 해결책 CutePHP 웹 사이트인 http://cutephp.com/cutenews/ 에서 구할 수 있는 CuteNews의 가장 최신 버전(1.4.2 혹은 이후)으로 업그레이드 하여야 한다. 관련 URL CVE-2006-1339,CVE-2006-1340 (CVE) 관련 URL 17152 (SecurityFocus) 관련 URL 25324 (ISS)