English

◀◁ 뒤로 취약점ID 21940 위험도 30 포트 80, ... 프로토콜 TCP 분류 CGI 상세설명 Invision Power Board의 버전 정보에 따르면 해당 소프트웨어에는 'CLIENT_IP' 인수에 있는 SQL 주입 취약점이 존재한다. Invision Power Board는 Invision Power Services 사에서 배포하는 PHP 기반의 웹 포럼(forum) 소프트웨어 패키지이다. Invision Power Board 2.1에서 2.1.6 까지의 버전들은 SQL 문장으로 사용되어지기 전에 'CLIENT_IP' 변수를 검증하지 않는 'classes/class_session.php' 스크립트에 있는 입력 검증 오류로 인하여, 원격지의 공격자가 잘 조작된 SQL 명령들을 실행시킬 수 있게 해 준다. 이 취약점은 원격지의 공격자가 악의적인 데이터를 데이터베이스 질의로 전달하여 결과적으로 데이터 노출, 질의 로직에 대한 수정, 심지어 자체 데이터베이스에 대한 데이터 수정이나 공격을 할 수 있게 해 줄 수 있다. * 알림: 이 점검항목은 이 취약점을 점검하기 위해 해당 웹 서버 상에 설치된 Invision Power Board의 버전 정보만을 확인한다. 따라서 거짓 양성반응(False Positive)을 보일 수 있다. * 참고 사이트: http://forums.invisionpower.com/index.php?autocom=bugtracker&code=show_bug&bug_title_id=2043&bug_cat_id=3 http://archives.neohapsis.com/archives/bugtraq/2006-07/0249.html * 영향을 받는 플랫폼: Invisionize, Invision Power Board 2.1에서 2.1.6 까지의 버전들 모든 운영체제 모든 버전 해결책 Invision Power Services 웹 사이트인 http://www.invisionpower.com/products/board/ 에서 구할 수 있는 Invision Power Board의 가장 최신 버전(2.1.7 혹은 이후)으로 업그레이드 하여야 한다. 관련 URL CVE-2006-7071 (CVE) 관련 URL (SecurityFocus) 관련 URL 27753 (ISS)