| 취약점ID |
21406 |
| 위험도 |
30 |
| 포트 |
80, ... |
| 프로토콜 |
TCP |
| 분류 |
CGI |
| 상세설명 |
해당 phpBugTracker 포로그램에는 bug.php 스크립트를 통한 SQL Injection 취약점이 존재한다.
phpBugTracker는 Microsoft Windows, Linux, Unix 계열의 운영체제를 위한 웹 기반의 취약점 추적(tracking) 시스템이다. phpBugTracker 0.9.1 버전의 경우, SQL Injection 공격에 영향을 받을 수 있다. 이는 애플리케이션이 'bug.php' 스크립트에서 사용자 입력을 적절히 필터링하지 못하기 때문이다. 원격지 공격자들은 'bug_id' 변수에 SQL 쿼리를 포함하는 잘 조작된 URL 을 대상 시스템에 전달하는 방법으로, 시스템의 중요한 정보를 획득하거나 후위 데이터베이스 상의 데이터를 추가, 삭제, 변조할 수 있다.
* 참고 사이트:
http://www.osvdb.org/5384
http://securitytracker.com/alerts/2004/Apr/1009821.html
* 영향을 받는 플랫폼:
Benjamin Curtis, phpBugTracker 0.9.1
모든 운영체제의 모든 버전들 |
| 해결책 |
다음 phpBugTracker 웹 사이트에서 phpBugTracker의 새 버전을 구하여 업그레이드 하여야 한다.
http://phpbt.sourceforge.net/ |
| 관련 URL |
CVE-2004-1519 (CVE) |
| 관련 URL |
10153 (SecurityFocus) |
| 관련 URL |
18053 (ISS) |
|
