English
◀◁ 뒤로
취약점ID 21485
위험도 30
포트 80, ...
프로토콜 TCP
분류 CGI
상세설명 해당 WebCalendar 프로그램은 webcalendar_session 쿠키를 통한 SQL 주입 취약점에 취약하다. WebCalendar는 단일 사용자나 인트라넷 사용자들의 그룹을 위한 달력을 관리하는 데 사용되는 그래피컬한 PHP 어플리케이션이다. WebCalendar 0.9.45을 포함한 여러 버전들은 요청에 삽입된 인코드된 쿠키를 통해 SQL 주입 공격들에 취약점이 있다. 원격 공격자는 인코드된 webcalendar_session 쿠키에 SQL 코드를 포함한 "views.php" 스크립트로의 잘 조작된 URL 요청을 보낼 수 있다. 결과적으로 이는 원격지의 공격자가 데이터베이스의 민감한 정보를 획득하거나 데이터베이스 상의 데이터를 삭제, 변조, 추가할 수 있게 해 준다.

* 참고 사이트:
http://secunia.com/advisories/14319

* 영향을 받는 플랫폼:
Craig Knudsen, WebCalendar 0.9.45 이하의 버전들
Linux Any version
Microsoft Windows Any version
Unix Any version
해결책 다음 WebCalendar 다운로드 웹 사이트에서 구할 수 있는 Webcalendar의 가장 최신 버전(1.0RC2 혹은 이후)으로 업그레이드 하여야 한다:
http://www.k5n.us/webcalendar.php?topic=Download
관련 URL CVE-2005-0474 (CVE)
관련 URL 12581 (SecurityFocus)
관련 URL 19369 (ISS)