English

◀◁ 뒤로 취약점ID 21400 위험도 40 포트 80, ... 프로토콜 TCP 분류 CGI 상세설명 phpBB의 버전에 따르면 해당 phpBB 소프트웨어에는 login form에 있는 다중의 입력 타당성 검사 취약점들이 존재한다. phpBB는 게시판(bulletin board)을 위한 오픈 소스 소프트웨어 패키지로써 데이터베이스로는 MySQL, MS-SQL, PostgreSQL, Access/ODBC 등을 사용한다. phpBB 2.0.9 이하의 버전들은 다음과 같은 login form에 있는 다중의 입력 타당성 검사 취약점들에 영향을 받는다: 첫번째 문제는 login form에 있는 Cross-Site Scripting 문제이다. 'username' 필드는 동적 콘텐트에 있는 수용하기 전에 적절하게 입력 타당성 검사를 하지 않는다. 이것은 Cross-Site Scripting 공격들에 이용될 수 있다. 두번째 문제도 login form에 있는 동일한 'username' 필드에 영향을 받는다. 이 필드는 적절한 입력 타당성 검사를 거치지 않은 채 SQL 질의에 사용된다. 이것은 SQL injection 공격들에 이용될 수 있다. 공격자는 이 문제들을 신뢰성 있는 사용자의 브라우저에서 임의의 클라이언트 사이드의 스크립트 코드를 실행하고 임의의 SQL 문들을 SQL 질의에 삽입하는 데 도용할 수 있다. 이것은 잠재적으로 쿠키(Cookie) 기반의 인증 신용정보의 탈취, 민감한 정보의 탈취나 혹은 데이터의 파괴 등등의 공격들에 도용당할 수 있다. * 알림: 이 점검항목은 이 취약점을 점검하기 위해 해당 웹 서버 상에 설치된 phpBB의 버전 정보만을 확인한다. 따라서 거짓 양성반응(False Positive)을 보일 수 있다. * 영향을 받는 플랫폼: phpBB Group, phpBB 2.0.9 이하의 버전들 모든 운영체제 모든 버전 해결책 phpBB 웹 사이트인 http://www.phpbb.com/index.php 에서 구할 수 있는 phpBB의 가장 최신 버전(2.0.10 혹은 이후)으로 업그레이드 하여야 한다. 관련 URL (CVE) 관련 URL 11716 (SecurityFocus) 관련 URL (ISS)