Программа: MyDMS 1.4.2 и более ранние версии
Уязвимость обнаружена в MyDMS. Удаленный пользователь может внедрить SQL команды. Удаленный пользователь может также просматривать файлы на целевой системе.
1. SQL инъекция:
http://[target]/demo/out/out.ViewFolder.php?folderid=3%20or%201=1as
2. Удаленный авторизованный пользователь может просматривать произвольные файлы на системе с привилегиями целевого Web сервера, представляя специально обработанное значение (типа ./../../../../etc/passwd) в параметр.
