English

◀◁ 뒤로 취약점ID 21272 위험도 30 포트 80, ... 프로토콜 TCP 분류 CGI 상세설명 해당 웹서버에 설치된 PHP-Nuke는 modules.php를 이용한 SQL injection 취약점을 가지고 있다. PHP-Nuke는 Francisco Burzi에 의해 만들어진 뉴스 기반의 웹 사이트들을 생성하고 관리할 수 있는 공개 소스 프로그램이다. 이 SQL injection 취약점은 PHP-Nuke에서 "modules.php" 스크립트에 전달되는 사용자 제공 입력값을 부적절하게 처리함으로 인하여 발생한다. 원격지 공격자들은 SQL 쿼리가 포함된 cid 변수를 "modules.php" 스크립트에 전달함으로써, PHP-Nuke가 사용하는 데이터베이스를 임의로 조작할 수 있다. 결과적으로 공격자는 스크립트가 수행하는 SQL 질의를 다룰 수 있으며 데이터베이스로부터 패스워드 해쉬와 같은 정보를 추출해 낼 수 있다. * 참고 사이트: http://www.securityfocus.com/archive/1/348163 * 영향을 받는 플랫폼: PHP-Nuke 6.9 이하의 버전들 Linux 모든 버전 Unix 모든 버전 Windows 모든 버전 해결책 PHP-Nuke 개발자의 공식 웹사이트인 http://www.phpnuke.org 를 참조하여 PHP-Nuke의 가장 최신 버전 (7.0 이상)을 구하여 업그레이드 하여야 한다. -- 혹은 -- 이 패키지를 제거하고 다른 것을 사용한다. 관련 URL (CVE) 관련 URL (SecurityFocus) 관련 URL (ISS)