English

◀◁ 뒤로 취약점ID 23067 위험도 30 포트 6680 프로토콜 TCP 분류 LDAP 상세설명 해당 SurgeLDAP 서버에는 Cross-Site Scripting 취약점이 존재한다. SurgeLDAP은 Microsoft Windows 와 Linux 계열의 운영체제 상에서 동작하는 Lightweight Directory Access Protocol (LDAP) v3 서버이다. SurgeLDAP 서버의 v1.0d 와 그 이전 버전에는 "user.cgi"와 같은 CGI 스크립트 상에서 사용자 입력이 적절히 필터링되지 못함으로 인하여 Cross-Site Scripting 취약점이 발생할 수 있다. 공격자들은 다음과 같이 악의적인 HTML 또는 Java Script를 삽입한 HTTP 요청을 서버에 전달함으로써, 해당 서버의 권한으로 대상 사용자의 웹 브라우저 상에서 임의의 코드를 실행할 수 있다. 이 취약점은 대상 시스템의 쿠키(cookie) 기반 인증정보들을 훔치기 위해 이용될 수 있다. http://[host]:6680/user.cgi?cmd=<script>alert('XSS')</script>&utoken= * 참고 사이트: http://www.securiteam.com/windowsntfocus/5RP0I0UAUI.html * 영향을 받는 플랫폼: NetWin surgeLDAP version 1.0d 와 그 이전 버전. Linux Any version Windows Any version 해결책 http://www.softpicks.net/software/Internet/Email/SurgeLDAP-Server-8756.htm 로부터 SurgeLDAP 서버의 버전 1.0e 이상 또는 가장 최신 버전으로 업그레이드 하여야 한다. SurgeLDAP 서버의 가장 최신 버전인 v1.0g 가 2003년 12월에 릴리즈 되었다. 관련 URL (CVE) 관련 URL 8407 (SecurityFocus) 관련 URL 12901 (ISS)