English

◀◁ 뒤로 취약점ID 21411 위험도 30 포트 80, ... 프로토콜 TCP 분류 CGI 상세설명 해당 PHPNews에는 sendtofriend.php 스크립트에 있는 SQL Injection 취약점이 존재한다. PhpNews는 MySQL 데이터베이스를 사용하는 PHP 기반의 뉴스 컨텐트 관리자 프로그램으로서 무료로 사용 가능하다. PHPNews 1.2.3와 그 이전 버전들은 애플리케이션이 사용자 입력을 SQL 쿼리에 사용하기 전, 올바르게 필터링하지 못하여 SQL Injection 공격에 취약할 수 있다. 원격지 공격자들은 'sendtofriend.php' 모듈의 'mid' 변수에 악의적인 SQL 명령을 전달하는 방법으로, 시스템의 정보를 획득하거나 후위 데이터베이스 상의 데이터를 추가, 삭제, 변조할 수 있다. * 참고 사이트: http://www.osvdb.org/12119 http://secunia.com/advisories/13300/ * 영향을 받는 플랫폼: PHPNews 1.2.3 and prior Microsoft Windows Any version Linux Any version Unix Any version 해결책 다음 PHPNews 웹 사이트로부터 PHPNews 가장 최신 버전(1.2.3 또는 그 이후)을 구하여 업그레이드 하여야 한다: http://sourceforge.net/projects/newsphp/ 관련 URL CVE-2004-2474 (CVE) 관련 URL 11748 (SecurityFocus) 관련 URL 18233 (ISS)