English

◀◁ 뒤로 취약점ID 21382 위험도 30 포트 80, ... 프로토콜 TCP 분류 CGI 상세설명 해당 Serendipity 시스템은 SQL Injection 취약점에 취약하다. Serendipity는 PHP로 제작된 웹 블로그 시스템이다. Serendipity 0.7-beta1 와 그 이전 버전들은 'exit.php' and 'comment.php' 스크립트 상에서 'entry_id' 파라미터에 전달되는 사용자 입력을 적절히 검사하지 못하여, SQL Injection 취약점이 발생할 수 있다. 원격지 공격자들은 SQL 명령이 포함된 잘 조작된 파라미터를 서버에 전달하는 방법으로, 후위 데이터베이스 상의 데이터를 수정, 추가, 삭제하는 것을 포함해서 삽입된 SQL 명령이 대상 시스템에서 실행되도록 만들 수 있다. * 참고 사이트: http://packetstormsecurity.org/0410-exploits/serendipityPoC.txt http://www.osvdb.org/10371 http://securitytracker.com/alerts/2004/Sep/1011448.html * 영향을 받는 플랫폼: s9y, Serendipity 0.7-beta1 와 그 이전 버전 모든 운영체제의 모든 버전 해결책 다음 SourceForge.net 웹 사이트로부터 해당 취약점이 해결된 가장 최신의 Serendipity 버전(0.7-beta3 또는 그 이후)을 구하여 업그레이드 하여야 한다: http://prdownloads.sourceforge.net/php-blog/serendipity-0.7-beta3.tar.gz?download 관련 URL CVE-2004-2158 (CVE) 관련 URL 11269 (SecurityFocus) 관련 URL 17533 (ISS)