취약점ID |
21376 |
위험도 |
30 |
포트 |
80, ... |
프로토콜 |
TCP |
분류 |
CGI |
상세설명 |
해당 웹 서버 상에 설치된 aspWebCalendar 프로그램은 SQL Injection 취약점에 취약하다. aspWebCalendar 프로그램은 MS Windows 플랫폼 상에서 동작하는 개인 또는 그룹용으로 달력 기능을 제공하는 웹 기반의 애플리케이션이다. 이 aspWebCalendar 에는 'calendar.asp' 스크립트 상에서 적절한 사용자 입력에 대한 검사를 수행하지 못하여 SQL Injection 취약점이 발생할 수 있다. 원격지 공격자들은 '/calendar.asp?action=login' 스크립트 또는 '/calendar.asp' 스크립트의 'eventid' 필드를 통해서 잘 조작된 SQL 명령을 삽입하는 방법으로, 대상 시스템에서 SQL 명령 실행 및 중요한 정보들을 획득할 수 있다.
* 참고 사이트: http://securitytracker.com/alerts/2004/Sep/1011410.html http://archives.neohapsis.com/archives/bugtraq/2004-09/0352.html
* 영향을 받는 플랫폼: Full Revolution, Inc., aspWebCalendar Any version Microsoft Windows Any version |
해결책 |
2014년 6월 현재 업그레이드나 패치는 나와 있지 않다.
Full Revolution 사의 웹 사이트인 http://www.fullrevolution.com/calendar_overview.asp 에서 문제가 해결된 새 버전이 다운로드 가능할 때 aspWebCalendar의 새 버전을 구하여 업그레이드 하여야 한다. |
관련 URL |
CVE-2004-1552 (CVE) |
관련 URL |
11246 (SecurityFocus) |
관련 URL |
17506 (ISS) |
|