English

◀◁ 뒤로 취약점ID 21304 위험도 30 포트 80, ... 프로토콜 TCP 분류 CGI 상세설명 해당 웹 서버에 설치된 Invision Power Board 패키지에는 'ssi.php' 스크립트를 이용한 SQL Injection 취약점이 존재한다. Invision Power Board 는 Invision Power Services 사에서 배포하는 PHP 기반의 웹 포럼(forum) 소프트웨어 패키지이다. Invision Power Board 1.3.1 Final 버전에는 'ssi.php' 스크립트 상에서 사용자 입력 데이터를 적절히 필터링하지 못함으로 인하여, SQL Injection 취약점이 발생할 수 있다. 원격지 공격자들은 다음과 같이 'ssi.php' 스크립트를 통해 후위에 위치한 데이터베이스에 악의적인 SQL 명령을 전달함으로써, 데이터베이스 상의 중요한 데이터를 삭제, 읽기 가능하며 명령 또는 프로시저를 실행할 수 있다. http://[target_server]/ssi.php?a=out&type=xml&f=0)[SQL-INJECTION] * 참고 사이트: http://archives.neohapsis.com/archives/bugtraq/2004-06/0116.html * 영향을 받는 플랫폼: Invision Power Board 1.3.1 Final 모든 운영체제 모든 버전 해결책 다음 사이트를 참고하여 최신 버전의 Invision Power Board로 업그레이드 해야 한다. http://www.invisionpower.com/products/board/ 관련 URL (CVE) 관련 URL 10511 (SecurityFocus) 관련 URL 16376 (ISS)