English

◀◁ 뒤로 취약점ID 210127 위험도 40 포트 80, ... 프로토콜 TCP 분류 CGI 상세설명 해당 호스트에는 버전 1.6.2 이전의 Serendipity 소프트웨어의 버전이 설치되어 있는 것으로 나타난다. Serendipity는 PHP로 작성된 Weblog/blog 시스템이다. Serendipity 1.6.2 이전의 버전들은 'include/functions_trackbacks.inc.php' 스크립트에서 사용자가 입력한 'url' 파라미터를 적절히 처리하지 못하여 SQL injection 취약점이 존재한다. PHP에서 'magic_quotes_gpc' 설정이 꺼져있을 때 공격자는 back-end 데이터베이스에서 임의의 데이터를 보거나 다룰 수 있다. * 알림: 이 점검항목은 이 취약점을 점검하기 위해 해당 웹 서버 상에 설치된 Serendipity 소프트웨어의 버전 정보만을 확인한다. 따라서 거짓 양성반응(False Positive)을 보일 수 있다. * 참고 사이트: https://www.htbridge.com/advisory/HTB23092 http://blog.s9y.org/archives/241-Serendipity-1.6.2-released.html * 영향을 받는 플랫폼: s9y, Serendipity 1.6.2 이전의 버전들 모든 운영체제 모든 버전 해결책 SourceForge.net 웹 사이트인 http://sourceforge.net/projects/php-blog/ 에서 구할 수 있는 Serendipity의 가장 최신 버전(1.6.2 혹은 이후)으로 업그레이드 하여야 한다. 관련 URL CVE-2012-2762 (CVE) 관련 URL 53620 (SecurityFocus) 관련 URL 20641,20642 (ISS)