English

◀◁ 뒤로 취약점ID 21361 위험도 30 포트 80, ... 프로토콜 TCP 분류 CGI 상세설명 해당 웹 서버 상에 설치된 vBulletin 버전에 따르면 vBulletin은 'item_number' 변수관련 SQL Injection 취약점을 가지고 있다. vBulletin은 Jelsoft Enterprises에서 개발한 PHP 기반의 웹 포럼으로서, MySQL 데이터베이스를 사용한다. vBulletin 3.0과 3.0.3 버전을 포함해서 그 사이의 버전들은 SQL Injection 취약점에 영향을 받을 수 있다. 이는 애플리케이션이 사용자 입력이 SQL 쿼리문에 포함되기 전에 적절한 검사를 수행하지 못하기 때문에 발생한다. 원격지 공격자들은 사용자 입력을 검사할 때 잘 조작된 POST 요청의 '$item_number' 변수에 악의적인 SQL 코드를 삽입하는 방법으로, 후위에 데이터베이스 상의 데이터를 추가, 변조, 삭제할 수 있다. * 알림: 이 점검항목은 이 취약점을 점검하기 위해 해당 vBulletin 서버의 버전 정보만을 확인한다. 따라서 거짓 양성반응(False Positive)을 보일 수 있다. * 참고 사이트: http://www.securiteam.com/unixfocus/5BP0E15E0M.html * 영향을 받는 플랫폼: Jelsoft Enterprises Limited, vBulletin 3.0에서 3.0.3 까지의 버전들 모든 운영체제 모든 버전 해결책 vBulletin의 다운로드 페이지인 http://www.vbulletin.com/download.php 에서 최신 버전을 구하여 업그레이드 하여야 한다. 관련 URL CVE-2004-2695 (CVE) 관련 URL 11193 (SecurityFocus) 관련 URL 17365 (ISS)