English

◀◁ 뒤로 취약점ID 21416 위험도 30 포트 80, ... 프로토콜 TCP 분류 CGI 상세설명 해당 BroadBoard 에는 'profile.asp' 스크립트 관련 SQL Injection 취약점이 존재한다. BroadBoard Instant Active Server Pages (ASP files) Message Board는 관리자가 메시지 게시판과 사용자를 관리할 수 있는 인스턴트 메시지 게시판 시스템이다. 일부 BroadBoard 버전은 사용자 입력 URI 데이터가 SQL 쿼리문에 사용되기 전, 올바른 필터링이 이루어지지 않아 SQL Injection 공격에 영향을 받을 수 있다. 원격지 공격자들은 SQL 명령이 삽입된 'handle' 파라미터를 갖는 잘 조작된 요청을 'profile.asp' 스크립트에 전달하는 방법으로, 시스템의 중요한 정보를 획득하거나 후위 데이터베이스 상의 데이터를 삭제, 변조, 추가할 수 있다. * 참고 사이트: http://www.osvdb.org/10337 http://securitytracker.com/alerts/2004/Sep/1011419.html * 영향을 받는 플랫폼: BroadBoard 모든 버전들 모든 운영체제의 모든 버전들 해결책 2014년 6월 현재 업그레이드나 패치는 나와 있지 않다. BroadBoard 는 더 이상 지원되지 않는다. 보안을 위해 다른 솔루션으로 대체할 것을 권고한다. 관련 URL CVE-2004-1555 (CVE) 관련 URL 11250 (SecurityFocus) 관련 URL 17500 (ISS)