English

◀◁ 뒤로 취약점ID 21996 위험도 40 포트 80, ... 프로토콜 TCP 분류 CGI 상세설명 해당 WordPress 프로그램은 백도어 파일들에 의한 원격 명령 실행 취약점에 취약하다. WordPress 는 MySQL 데이터베이스를 사용하는 PHP 기반의 출판(publication) 프로그램으로서, 무료로 사용 가능한 프로그램이다. WordPress 버전 2.1.1은 wp-includes/feed.php 스크립트로의 ix 인수에 있는 eval 주입 취약점과 wp-includes/theme.php 스크립트로의 iz 인수에 있는 신뢰할 수 없는 passthru 호출을 통해, 원격지의 공격자가 임의의 명령들을 실행시킬 수 있게 해 줄 수 있다. 원격지의 공격자는 이 취약점을 도용하여 웹 서버의 권한을 가지고 시스템 상에 임의의 PHP 코드나 혹은 악의적인 쉘 명령들을 실행시킬 수 있게 해 줄 수 있다. 보고에 따르면 이 취약점은 벤더의 서버에 침투한 공격자에 의해 어플리케이션에 추가되어졌다. * 참고 사이트: http://wordpress.org/development/2007/03/upgrade-212/ http://ifsec.blogspot.com/2007/03/wordpress-code-compromised-to-enable.html http://www.securityfocus.com/archive/1/461794/30/0/threaded http://secunia.com/advisories/24374/ http://www.kb.cert.org/vuls/id/214480 http://www.kb.cert.org/vuls/id/641456 * 영향을 받는 플랫폼: Matthew Mullenweg, WordPress 2.1.1 모든 운영체제 모든 버전 해결책 WordPress 다운로드 웹 사이트인 http://wordpress.org/download/ 에서 구할 수 있는 WordPress의 가장 최신 버전(2.1.2 혹은 이후)으로 업그레이드 하여야 한다. 관련 URL CVE-2007-1277 (CVE) 관련 URL 22797 (SecurityFocus) 관련 URL 32804,32807 (ISS)