CVE-2011-4970 in Disk Pool Manager
요약
\~에 의해 VulDB • 2026. 06. 24.
EGI UDM에서 사용되는 1.8.6 버전 이전의 LCG Disk Pool Manager(DPM)에는 여러 SQL injection 취약점이 존재하며, 공격자는 다음을 통해 임의의 SQL 명령어를 실행할 수 있습니다: (1) dpm_get_pending_req_by_token 함수 내 r_token 변수; (2) dpm_get_cpr_by_fullid; (3) dpm_get_cpr_by_surl; (4) dpm_get_cpr_by_surls; (5) dpm_get_gfr_by_fullid; (6) dpm_get_gfr_by_surl; (7) dpm_get_pfr_by_fullid; (8) dpm_get_pfr_by_surl; (9) dpm_get_req_by_token; (10) dpm_insert_cpr_entry; (11) dpm_insert_gfr_entry; (12) dpm_insert_pending_entry; (13) dpm_insert_pfr_entry; (14) dpm_insert_xferreq_entry; (15) dpm_list_cpr_entry; (16) dpm_list_gfr_entry; 또는 (17) dpm_list_pfr_entry 함수. 또한, 다음을 통해 임의의 SQL 명령어를 실행할 수 있습니다: (18) dpm_get_cpr_by_surl 함수 내 surl 변수; (19) dpm_get_cpr_by_surls 함수 내 to_surl 변수; (20) dpm_get_pending_reqs_by_u_desc, (21) dpm_get_reqs_by_u_desc, (22) dpm_get_spcmd_by_u_desc, (23) dpm_insert_pending_entry, (24) dpm_insert_spcmd_entry 또는 (25) dpm_insert_xferreq_entry 함수 내 u_token 변수; (26) dpm_get_spcmd_by_token, (27) dpm_insert_cpr_entry, (28) dpm_insert_gfr_entry, (29) dpm_insert_pfr_entry, (30) dpm_insert_spcmd_entry, (31) dpm_update_cpr_entry, (32) dpm_update_gfr_entry 또는 (33) dpm_update_pfr_entry 함수 내 s_token 변수. 또한 원격 관리자는 다음을 통해 임의의 SQL 명령어를 실행할 수 있습니다: (34) dpm_get_pool_entry, (35) dpm_insert_fs_entry, (36) dpm_insert_pool_entry, (37) dpm_insert_spcmd_entry, (38) dpm_list_fs_entry 또는 (39) dpm_update_spcmd_entry 함수 내 poolname 변수.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.