English

◀◁ 뒤로 취약점ID 21376 위험도 30 포트 80, ... 프로토콜 TCP 분류 CGI 상세설명 해당 웹 서버 상에 설치된 aspWebCalendar 프로그램은 SQL Injection 취약점에 취약하다. aspWebCalendar 프로그램은 MS Windows 플랫폼 상에서 동작하는 개인 또는 그룹용으로 달력 기능을 제공하는 웹 기반의 애플리케이션이다. 이 aspWebCalendar 에는 'calendar.asp' 스크립트 상에서 적절한 사용자 입력에 대한 검사를 수행하지 못하여 SQL Injection 취약점이 발생할 수 있다. 원격지 공격자들은 '/calendar.asp?action=login' 스크립트 또는 '/calendar.asp' 스크립트의 'eventid' 필드를 통해서 잘 조작된 SQL 명령을 삽입하는 방법으로, 대상 시스템에서 SQL 명령 실행 및 중요한 정보들을 획득할 수 있다. * 참고 사이트: http://securitytracker.com/alerts/2004/Sep/1011410.html http://archives.neohapsis.com/archives/bugtraq/2004-09/0352.html * 영향을 받는 플랫폼: Full Revolution, Inc., aspWebCalendar Any version Microsoft Windows Any version 해결책 2014년 6월 현재 업그레이드나 패치는 나와 있지 않다. Full Revolution 사의 웹 사이트인 http://www.fullrevolution.com/calendar_overview.asp 에서 문제가 해결된 새 버전이 다운로드 가능할 때 aspWebCalendar의 새 버전을 구하여 업그레이드 하여야 한다. 관련 URL CVE-2004-1552 (CVE) 관련 URL 11246 (SecurityFocus) 관련 URL 17506 (ISS)