허용받지 않은 서비스 대상으로 해킹을 시도하는 행위는 범죄 행위입니다. 해킹을 시도할 때에 발생하는 법적인 책임은 그것을 행한 사용자에게 있다는 것을 명심하시기 바랍니다.
CVE-ID
CVE-2012-5105
개요
- SQLiteManager 1.2.4 XSS 취약점 발견
CVE를 살펴보면 2012년도에 나온 취약점 인걸 알 수 있고, 설명을 보면 SQLiteManager 1.2.4의 다중 사이트 간 스크립팅(XSS) 취약점으로 인해 원격 공격자가 dbsel 매개변수를 통해 (1) main.php 또는 (2) index.php에 임의의 웹 스크립트 또는 HTML을 삽입할 수 있습니다. 또는 (3) index.php에 대한 nsextt 매개변수.라고 나와 있습니다.
즉 SQLiteManager 1.2.4 버전에서 main.php, index.php 에서 dbsel, nsextt 변수를 사용한다는 것을 추측할 수 있습니다.
취약한 SQLiteManager 페이지에서 새트리거 속성에서 스크립트 문을 입력해 보도록 하겠습니다.
CVE-2012-5105 취약점에 대한 익스플로잇 DB 보고
SQLiteManager는 동적으로 생성된 콘텐츠에서 사용하기 전에 사용자가 제공한 입력을 적절하게 삭제하지 못하기 때문에 여러 사이트 간 스크립팅 취약점이 발생하기 쉽습니다.
공격자는 이러한 문제를 활용하여 영향을 받는 사이트의 콘텍스트에서 의심하지 않는 사용자의 브라우저에서 임의의 스크립트 코드를 실행할 수 있습니다. 이를 통해 공격자는 쿠키 기반 인증 자격 증명을 훔치고 다른 공격을 시작할 수 있습니다.
SQLiteManager 1.2.4는 취약합니다. 다른 버전도 영향을 받을 수 있습니다.
현재까지도 취약한 버전을 사용하는 SQLiteManager가 노출 중인 것을 확인할 수 있었습니다.
SQLiteManager 설명
'Code::Security > 취약점' 카테고리의 다른 글
| Microsoft Exchange ProxyNotShell우회 OWASSRF 공격체인 (0) | 2022.12.28 |
|---|---|
| Apache Commons Text (CVE-2022-42889) (0) | 2022.10.21 |
| Oracle WebLogic 취약점 (CVE-2019-2618) (0) | 2022.08.10 |
| 보안 취약점 정보 제공 사이트 및 참고 사이트 (0) | 2022.08.09 |
| Beancount/fava 1.22.3 이전 버전의 XSS 취약점 (CVE-2022-2589) (0) | 2022.08.05 |