English
◀◁ 뒤로
취약점ID 21376
위험도 30
포트 80, ...
프로토콜 TCP
분류 CGI
상세설명 해당 웹 서버 상에 설치된 aspWebCalendar 프로그램은 SQL Injection 취약점에 취약하다.
aspWebCalendar 프로그램은 MS Windows 플랫폼 상에서 동작하는 개인 또는 그룹용으로 달력 기능을 제공하는 웹 기반의 애플리케이션이다. 이 aspWebCalendar 에는 'calendar.asp' 스크립트 상에서 적절한 사용자 입력에 대한 검사를 수행하지 못하여 SQL Injection 취약점이 발생할 수 있다. 원격지 공격자들은 '/calendar.asp?action=login' 스크립트 또는 '/calendar.asp' 스크립트의 'eventid' 필드를 통해서 잘 조작된 SQL 명령을 삽입하는 방법으로, 대상 시스템에서 SQL 명령 실행 및 중요한 정보들을 획득할 수 있다.

* 참고 사이트:
http://securitytracker.com/alerts/2004/Sep/1011410.html
http://archives.neohapsis.com/archives/bugtraq/2004-09/0352.html

* 영향을 받는 플랫폼:
Full Revolution, Inc., aspWebCalendar Any version
Microsoft Windows Any version
해결책 2014년 6월 현재 업그레이드나 패치는 나와 있지 않다.

Full Revolution 사의 웹 사이트인 http://www.fullrevolution.com/calendar_overview.asp 에서 문제가 해결된 새 버전이 다운로드 가능할 때 aspWebCalendar의 새 버전을 구하여 업그레이드 하여야 한다.
관련 URL CVE-2004-1552 (CVE)
관련 URL 11246 (SecurityFocus)
관련 URL 17506 (ISS)