English

◀◁ 뒤로 취약점ID 21462 위험도 30 포트 80, ... 프로토콜 TCP 분류 CGI 상세설명 해당 vBulletin 소프트웨어에는 "Last 10 Posts" 스크립트에 SQL Injection 취약점이 존재한다. vBulletin은 Jelsoft Enterprises에서 개발한 PHP 기반의 웹 포럼으로서, MySQL 데이터베이스를 사용한다. vBulletin을 위한 비공식 플러그인인 last10.php는 사용자들이 자신의 포럼(forum) 중 마지막 10개 화제(topic)들을 보여 주는 회전하는 표시기(ticker)에 추가할 수 있게 해 준다. Last 10 Posts 2.0.1 이하의 버전들은 사용자 입력 URI 데이터가 SQL 쿼리문에 사용되기 전, 올바른 필터링이 이루어지지 않아 SQL Injection 공격에 취약하다. '$fsel' 그리고 '$ftitle' 인수에 내장 SQL 명령들을 포함한 잘 조작된 요청을 'last10.php' 스크립트로 보냄으로써, 원격지의 공격자는 데이터베이스의 중요한 정보를 획득하거나 데이터베이스 상의 데이터를 삭제, 변조, 추가할 수 있다. * 영향을 받는 플랫폼: Jelsoft Enterprises Limited, Last 10 Posts for vBulletin 버전 2.0.1 모든 운영체제 모든 버전 해결책 2014년 6월 현재 업그레이드나 패치는 나와 있지 않다. vBulletin의 다운로드 페이지인 http://www.vbulletin.com/download.php 에서 새롭게 수정된 버전이 다운로드 가능할 때 vBulletin의 수정된 버전을 구하여 업그레이드 하여야 한다. 관련 URL CVE-2004-1515 (CVE) 관련 URL 11825 (SecurityFocus) 관련 URL (ISS)