| 취약점ID |
21485 |
| 위험도 |
30 |
| 포트 |
80, ... |
| 프로토콜 |
TCP |
| 분류 |
CGI |
| 상세설명 |
해당 WebCalendar 프로그램은 webcalendar_session 쿠키를 통한 SQL 주입 취약점에 취약하다. WebCalendar는 단일 사용자나 인트라넷 사용자들의 그룹을 위한 달력을 관리하는 데 사용되는 그래피컬한 PHP 어플리케이션이다. WebCalendar 0.9.45을 포함한 여러 버전들은 요청에 삽입된 인코드된 쿠키를 통해 SQL 주입 공격들에 취약점이 있다. 원격 공격자는 인코드된 webcalendar_session 쿠키에 SQL 코드를 포함한 "views.php" 스크립트로의 잘 조작된 URL 요청을 보낼 수 있다. 결과적으로 이는 원격지의 공격자가 데이터베이스의 민감한 정보를 획득하거나 데이터베이스 상의 데이터를 삭제, 변조, 추가할 수 있게 해 준다.
* 참고 사이트:
http://secunia.com/advisories/14319
* 영향을 받는 플랫폼:
Craig Knudsen, WebCalendar 0.9.45 이하의 버전들
Linux Any version
Microsoft Windows Any version
Unix Any version |
| 해결책 |
다음 WebCalendar 다운로드 웹 사이트에서 구할 수 있는 Webcalendar의 가장 최신 버전(1.0RC2 혹은 이후)으로 업그레이드 하여야 한다:
http://www.k5n.us/webcalendar.php?topic=Download |
| 관련 URL |
CVE-2005-0474 (CVE) |
| 관련 URL |
12581 (SecurityFocus) |
| 관련 URL |
19369 (ISS) |
|
