English

◀◁ 뒤로 취약점ID 21869 위험도 40 포트 80, ... 프로토콜 TCP 분류 CGI 상세설명 해당 Mambo Open Source는 4.5.3h와 그 이전의 버전들에 존재하는 다중의 취약점들에 취약하다. Mambo Open Source(예전에는 Mambo Site Server로 불림)는 인터넷 포털 및 콘텐츠 관리 소프트웨어이다. Mambo Open Source 4.5.3과 4.5.3h, 그리고 이전의 버전들은 파일로부터 PHP 코드를 포함(Include)하도록 한 입력을 사용하기 전에 'mos_user_template' Cookie로의 입력에 대한 부적절한 검증으로 인하여, 원격지의 공격자가 영향을 받는 호스트 상에 있는 임의의 파일들을 보거나 임의의 PHP 코드를 실행할 수 있게 해 준다. 이 결함에 더하여, 문제의 소프트웨어들은 또한 다중의 SQL 주입 취약점들에 취약하다. 만약 magic_quotes_gpc 설정이 사용 안함으로 되어 있다면, 'includes/mambo.php' 스크립트에 있는 'username' 인수, 'index2.php' 스크립트에 있는 'task' 인수, 그리고 'components/com_content/content.php' 스크립트에 있는 'filter' 인수로 장 조작된 SQL 문장들을 보냄으로써, 원격지의 공격자는 이 취약점들을 도용하여 기반 데이터베이스에 있는 정보를 추가, 조작, 삭제할 수 있다. * 참고 사이트: http://www.gulftech.org/?node=research&article_id=00104-02242006 http://archives.neohapsis.com/archives/bugtraq/2006-02/0463.html http://secunia.com/advisories/18935/ * 영향을 받는 플랫폼: Miro International Pty 사, Mambo Open Source 4.5.3과 4.5.3h, 그리고 이전의 버전들 모든 운영체제 모든 버전 해결책 다음 사이트를 참고하여 최신버전의 Mambo로 업그레이드 해야 한다. http://sourceforge.net/projects/mambo/ 관련 URL CVE-2006-0871 (CVE) 관련 URL 16775 (SecurityFocus) 관련 URL 24870 (ISS)