English

◀◁ 뒤로 취약점ID 21359 위험도 30 포트 80, ... 프로토콜 TCP 분류 CGI 상세설명 해당 웹 서버 상에 설치된 vBulletin은 'calendar.php' 관련 SQL Injection 취약점을 가지고 있다. vBulletin은 Jelsoft Enterprises에서 개발한 PHP 기반의 웹 포럼으로서, MySQL 데이터베이스를 사용한다. vBulletin 버전 2.3.4 이전의 2.3.x 버전들에는 'calendar.php' 스크립트 관련 SQL Injection 취약점이 발생할 수 있다. 이는 애플리케이션이 사용자 입력 URI를 적절히 필터링하지 못하는 데 그 원인이 있다. 원격지 공격자들은 'calendar.php' 스크립트에 임의의 SQL 코드를 삽입하는 방법으로, 후위에 위치한 데이터베이스로부터 중요한 정보를 획득하거나 데이터를 추가, 변조, 삭제할 수 있다. * 참고 사이트: http://archives.neohapsis.com/archives/bugtraq/2004-01/0027.html * 영향을 받는 플랫폼: Jelsoft Enterprises Limited, vBulletin 2.3.xx 이하 버전들 Linux Any version Microsoft Windows Any version Unix Any version 해결책 다음 vBulletin 다운로드 웹 페이지에서 구할 수 있는 vBulletin의 가장 최신 버전(3.0.3 혹은 이후)으로 업그레이드 하여야 한다: http://www.vbulletin.com/download.php 관련 URL CVE-2004-0036 (CVE) 관련 URL 9360 (SecurityFocus) 관련 URL 14144 (ISS)