불필요한 페이지 존재 (에디터 업로드 경로)

Writer grooveshark Program 한국CISSP협회 대표홈페이지

WEB Informative Low No Reward Created: Jul 14, 2021 (3 years ago) Last Updated: Jul 17, 2022 (2 years ago)

Weakness

불필요한 페이지 존재 (에디터 업로드 경로)

Description

개요

  • 에디터 업로드 및 샘플 페이지 존재

재현 과정

[취약점 재현을 하기 위한 과정을 서술해 주세요]
1.
https://isc2chapter.kr/plugin/editor/smarteditor2/photo_uploader/popup/
https://isc2chapter.kr/plugin/editor/smarteditor2/SmartEditor2_noframe.html
https://isc2chapter.kr/plugin/editor/smarteditor2/SmartEditor2noframe.html
https://isc2chapter.kr/plugin/editor/cheditor5/popup/media.html?linkurl=
2. [step2]
3. [step3]

예상되는 취약점 발생 원인

  • 에디터 샘플 페이지 경로 존재

패치 방법

[해당 취약점을 패치하기 위한 대응 방법을 서술해 주세요]

예상 결과 및 파급력

  • 2차 공격으로 이어지는 경로 노출

기타사항 및 레퍼런스

[그 외에 추가할 내용이 있다면 이곳에 작성해주세요.(스크린샷, 로그 등)]
image.png

Attachment

Timeline

grooveshark submitted ticket. July 14, 2021 (3 years ago)
grooveshark posted a comment. July 14, 2021 (3 years ago)
  • 사용하지 않는 페이지인 경우 삭제를 권고 드립니다.
CISSP MANAGER posted a comment. July 14, 2021 (3 years ago)

안녕하세요.
제보 감사드립니다.
해당 내용, 관리자에게 전달 예정입니다.
앞으로도 많은 활동 부탁드립니다.
감사합니다.

CISSP MANAGER posted a comment. July 14, 2021 (3 years ago)

안녕하세요.
해당 페이지 삭제했다고 전달받았습니다.
제보해주신 내용은 영향도가 높지 않아 즉각적인 위험이라기 보기 어려워 바운티는 지급 되지 않습니다.
앞으로도 활발한 활동 부탁드립니다.
감사합니다.

CISSP MANAGER changed the status from 'Submitted' to 'In Progress'. July 14, 2021 (3 years ago)
CISSP MANAGER changed the status from 'In Progress' to 'Informative'. July 14, 2021 (3 years ago)
4cb9ef3b changed the disclosure from 'Closed' to 'Disclosed (Full)'. July 28, 2021 (3 years ago)