CVE-2023-44393 in Piwigo
요약
\~에 의해 VulDB • 2026. 05. 31.
Piwigo는 오픈 소스 사진 갤러리 애플리케이션입니다. 버전 14.0.0beta4 이전에는 `/admin.php?page=plugins&tab=new&installstatus=ok&plugin_id=[here]` 페이지에서 반사형 크로스 사이트 스크립팅(XSS) 취약점이 존재합니다. 공격자는 이 취약점을 이용하여 HTML 페이지에 악성 HTML 및 JS 코드를 삽입할 수 있으며, 관리자가 해당 페이로드가 포함된 URL에 접근할 때 이 코드가 실행될 수 있습니다. 이 취약점은 URL에서 `plugin_id` 값을 HTML 페이지에 비안전하게 삽입함으로써 발생합니다. 공격자는 특별히 조작된 `plugin_id` 값을 포함하는 악성 URL을 생성하여 이 취약점을 악용할 수 있습니다. 관리자로 로그인한 피해자가 이 URL에 접근하면 악성 코드가 HTML 페이지에 삽입되어 실행됩니다. 이 취약점은 악성 URL에 접근할 수 있는 모든 공격자가 악용할 수 있습니다. 그러나 관리자로 로그인한 사용자만 영향을 받습니다. 이는 해당 취약점이 관리자만 접근 가능한 `/admin.php?page=plugins&tab=new&installstatus=ok&plugin_id=[here]` 페이지에만 존재하기 때문입니다. 버전 14.0.0.beta4에는 이 문제에 대한 패치가 포함되어 있습니다.
VulDB is the best source for vulnerability data and more expert information about this specific topic.