불필요한 페이지 존재 (에디터 업로드 경로)

Writer grooveshark Program 한국CISSP협회 대표홈페이지

WEB Informative Low No Reward Created: 2021년 7월 14일 (4년 전) Last Updated: 2022년 7월 17일 (3년 전)

Weakness

불필요한 페이지 존재 (에디터 업로드 경로)

Description

개요

  • 에디터 업로드 및 샘플 페이지 존재

재현 과정

[취약점 재현을 하기 위한 과정을 서술해 주세요]
1.
https://isc2chapter.kr/plugin/editor/smarteditor2/photo_uploader/popup/
https://isc2chapter.kr/plugin/editor/smarteditor2/SmartEditor2_noframe.html
https://isc2chapter.kr/plugin/editor/smarteditor2/SmartEditor2noframe.html
https://isc2chapter.kr/plugin/editor/cheditor5/popup/media.html?linkurl=
2. [step2]
3. [step3]

예상되는 취약점 발생 원인

  • 에디터 샘플 페이지 경로 존재

패치 방법

[해당 취약점을 패치하기 위한 대응 방법을 서술해 주세요]

예상 결과 및 파급력

  • 2차 공격으로 이어지는 경로 노출

기타사항 및 레퍼런스

[그 외에 추가할 내용이 있다면 이곳에 작성해주세요.(스크린샷, 로그 등)]
image.png

Attachment

1-1.png

Timeline

grooveshark submitted ticket. 2021년 7월 14일 (4년 전)
grooveshark posted a comment. 2021년 7월 14일 (4년 전)
  • 사용하지 않는 페이지인 경우 삭제를 권고 드립니다.
CISSP MANAGER posted a comment. 2021년 7월 14일 (4년 전)

안녕하세요.
제보 감사드립니다.
해당 내용, 관리자에게 전달 예정입니다.
앞으로도 많은 활동 부탁드립니다.
감사합니다.

CISSP MANAGER posted a comment. 2021년 7월 14일 (4년 전)

안녕하세요.
해당 페이지 삭제했다고 전달받았습니다.
제보해주신 내용은 영향도가 높지 않아 즉각적인 위험이라기 보기 어려워 바운티는 지급 되지 않습니다.
앞으로도 활발한 활동 부탁드립니다.
감사합니다.

CISSP MANAGER changed the status from 'Submitted' to 'In Progress'. 2021년 7월 14일 (4년 전)
CISSP MANAGER changed the status from 'In Progress' to 'Informative'. 2021년 7월 14일 (4년 전)
4cb9ef3b changed the disclosure from 'Closed' to 'Disclosed (Full)'. 2021년 7월 28일 (4년 전)