English

◀◁ 뒤로 취약점ID 210162 위험도 40 포트 80, ... 프로토콜 TCP 분류 CGI 상세설명 자체 보고된 버전에 따르면, 원격 웹 서버에 phpMyAdmin 어플리케이션 4.0.10.19 이전 버전인 4.0.x 버전, 4.4.15.10 이전 버전인 4.4.x 버전 또는 4.6.6 이전 버전인 4.6.x 버전이 호스트 되어 있다. 해당 버전은 다음과 같은 취약점을 가지고 있다.자체 보고된 버전에 따르면, 원격 웹 서버에 phpMyAdmin 어플리케이션 4.0.10.19 이전 버전인 4.0.x 버전, 4.4.15.10 이전 버전인 4.4.x 버전 또는 4.6.6 이전 버전인 4.6.x 버전이 호스트 되어 있다. 해당 버전은 다음과 같은 취약점을 가지고 있다. - 사용자에게 재전송하기 전에 요청 경로를 검증 실패로 인한 오픈 리다이렉트 취약점이 존재한다. 인증 받지 않은 원격 공격자는 특수 제작된 링크로 사용자를 속여서 부정 웹사이트로 리다이렉트 하기 위하여, 이 취약점을 악용할 수 있다. (PMASA-2017-1, VulnDB 151006) - 사용자 입력 값의 부적절한 삭제로 인한 select_string() 함수의 php-gettext 컴포넌트에 부정코드 실행 취약점이 존재한다. 인증되지 않은 원격 공격자는 부정 코드를 실행하기 위하여, 이 취약점을 악용할 수 있다. (PMASA-2017-2, CVE-2015-8980) - 테이블 데이터의 부적절한 처리로 인한 goto() 함수에 서비스 거부 취약점이 존재한다. 인증되지 않은 원격 공격자는 서비스 거부 조건을 일으키는 재귀 작업을 실행하기 위하여, 이 취약점을 악용할 수 있다. (PMASA-2017-3, VulnDB 151008) - 쿠키 파라미터를 통해 전달된 입력 값의 삭제 실패로 인한 결함이 존재한다. 인증되지 않은 원격 공격자는 테마에 부정 CSS를 주입하기 위하여, 이 취약점을 악용할 수 있다. (PMASA-2017-4, VulnDB 151009) - 원격 공격자가 브라우저 쿠키에 부정 값을 주입할 수 있게 하는, 특정되지 않은 취약점이 존재한다. (PMASA-2017-5, CVE-2016-5702) - 인증된 원격 공격자가 접근 제한(예. 호스트 또는 네트워크 ACLs)을 우회하고 적절한 인증 없이 호스트에 접속이 가능하게 하는 서버단 요청 위조 취약점이 존재한다. 이 취약점은 4.6.x 버전에서만 적용된다. (PMASA-2017-6, VulnDB 151021) - 부적절한 특수 제작된 테이블 이름으로 인한 레플리케이션 상태 기능에 서비스 거부 취약점이 존재한다. 인증되지 않은 원격 공격자는 서비스 거부 상태를 야기시키기 위하여, 이 취약점을 악용할 수 있다. (PMASA-2017-7, VulnDB 151011) * 참고 사이트: https://www.phpmyadmin.net/security/PMASA-2017-1/ https://www.phpmyadmin.net/security/PMASA-2017-2/ https://www.phpmyadmin.net/security/PMASA-2017-3/ https://www.phpmyadmin.net/security/PMASA-2017-4/ https://www.phpmyadmin.net/security/PMASA-2017-5/ https://www.phpmyadmin.net/security/PMASA-2017-6/ https://www.phpmyadmin.net/security/PMASA-2017-7/ * 영향을 받는 플랫폼: phpMyAdmin 4.4.15.10 버전 이전의 4.4.x 모든 운영체제 모든 버전 해결책 다음 phpMyAdmin 다운로드 웹 페이지에서 구할 수 있는 phpMyAdmin의 가장 최신 버전(4.4.15.10 이후)으로 업그레이드 하여야 한다: http://www.phpmyadmin.net/home_page/downloads.php 관련 URL CVE-2015-8980,CVE-2016-5702 (CVE) 관련 URL 91380,95754 (SecurityFocus) 관련 URL (ISS)