English

◀◁ 뒤로 취약점ID 21387 위험도 30 포트 80, ... 프로토콜 TCP 분류 CGI 상세설명 해당 PHP-Fusion 시스템의 버전에 따르면, PHP-Fusion은 SQL Injection 취약점을 가지고 있다. PHP-Fusion는 MySQL 데이터베이스를 사용하는 PHP 기반의 컨텐트 관리 시스템(CMS:content management system)으로 무료로 사용 가능하다. PHP-Fusion 4.01과 가능한 다른 버전들에는 애플리케이션이 사용자 입력 데이터에 대한 적절한 필터링을 수행하지 못하여 SQL Injection 취약점이 발생할 수 있다. 인증된 원격지 공격자들은 SQL 명령을 'rowstart' 또는 'comment_id' 파라미터에 삽입해서 잘 조작된 요청을 각각 'members.php', 'comments.php' 스크립트에 전달함으로써, 후위 데이터베이스 상의 데이터를 삭제, 추가, 수정하는 것을 포함해서 시스템에서 임의의 코드를 실행할 수 있다. * 알림: 이 점검항목은 이 취약점을 점검하기 위해 해당 웹 서버 상의 PHP-Fusion 버전 정보만을 확인한다. 따라서 거짓 양성반응(False Positive)을 보일 수 있다. * 참고 사이트: http://www.osvdb.org/10437 http://www.osvdb.org/10438 http://www.osvdb.org/10439 * 영향을 받는 플랫폼: digitanium, PHP-Fusion 4.01 과 이전 가능한 버전들 모든 운영체제의 모든 버전 해결책 다음 사이트를 참고하여 최신 버전의 PHP-Fusion으로 업그레이드 해야 한다. http://sourceforge.net/projects/php-fusion/ 관련 URL CVE-2004-2437 (CVE) 관련 URL 11296 (SecurityFocus) 관련 URL 17546 (ISS)