English

◀◁ 뒤로 취약점ID 21401 위험도 30 포트 80, ... 프로토콜 TCP 분류 CGI 상세설명 phpMyAdmin의 버전 정보에 따르면 해당 소프트웨어에는 read_dump.php 스크립트에 다중 Cross-Site Scripting 취약점들이 존재한다. phpMyAdmin는 웹을 통해 MySQL를 관리하려는 목적의 PHP로 제작된 툴이다. 현재 이 툴은 데이터베이스의 생성과 삭제, 테이블의 생성/삭제/변경, 필드의 삭제/편집/추가, 임의의 SQL 문의 실행, 필드상의 키 관리 기능 등을 제공한다. phpMyAdmin 2.6.0-pl3 이전의 버전들은 다중 Cross-Site Scripting 취약점들에 취약하다. 원격지의 공격자는 read_dump.php 스크립트에 잘 조작된 URL 요청으로 PmaAbsoluteUri 인수에 악의적인 스크립트를 포함시키거나 혹은 잘 조작된 URL 요청으로 zero_rows 혹은 sql_query 인수에 악의적인 스크립트를 포함시킬 수 있다. 이 악의적인 스크립트가 일단 한번 클릭되게 되면 호스팅하는 사이트의 보안 체계 하에서 희생자의 웹 브라우저에서 실행될 수 있다. 이는 잠재적으로 쿠키 기반의 인증 신용정보의 탈취나 혹은 다른 공격들에 이용될 수 있다. * 알림: 이 점검항목은 이 취약점을 점검하기 위해 해당 phpMyAdmin 소프트웨어의 버전 정보만을 확인한다. 따라서 거짓 양성반응(False Positive)을 보일 수 있다. * 참고 사이트: http://secunia.com/advisories/13241/ http://www.phpmyadmin.net/home_page/security.php?issue=PMASA-2004-3 * 영향을 받는 플랫폼: Tobias Ratschiller, phpMyAdmin 2.6.0-pl3 이전의 버전들 모든 운영체제 모든 버전 해결책 phpMyAdmin 다운로드 웹 페이지인 http://www.phpmyadmin.net/home_page/downloads.php 에서 구할 수 있는 phpMyAdmin의 가장 최신 버전(2.6.0-pl3 혹은 이후)으로 업그레이드 하여야 한다. 관련 URL CVE-2004-1055 (CVE) 관련 URL 11707 (SecurityFocus) 관련 URL 18158 (ISS)