Программа: Spider Sales Shopping Cart 

Несколько уязвимостей обнаружено в Spider Sales shopping cart. Удаленный пользователь может выполнить произвольные команды операционной системы не целевой системе.
Несколько сценариев не проверяют данные, представленные пользователем в параметре ‘userId’. Удаленный пользователь может представить специально обработанный URL, чтобы внедрить произвольные SQL команды: 

http://[target]/Carts/Computers/viewCart.asp?userID
=2893225125722634′;exec%20master..xp_cmdshell %20’dir%20c:%20>%20c: \inetpub\
wwwroot\dirc.txt’—&&

Также сообщается, что программное обеспечение использует слабое кодирование паролей, хранящихся в базе данных.



Оставить мнение