Программа: My Classifieds SQL 2.13 

Уязвимость обнаружена в My Classifieds SQL. Злонамеренный пользователь может выполнить нападение SQL инъекции. 

Уязвимость связанна с ошибкой проверки правильности данных, представленных в переменной "$email". В результате злонамеренный пользователь может манипулировать существующим SQL запросом и раскрыть потенциально чувствительные данные, типа паролей пользователей системы. 

Пример/Эксплоит: 

Если $email сделать aaa@aaa.com' OR 1=1 INTO OUTFILE '/<directory-path>/pass.txt,
тогда SQL запрос будет выглядеть так:

select passmd5 from people where email=' aaa@aaa.com' OR 1=1 INTO OUTFILE '/<directory-path>/pass.txt'

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии