Программа: aspWebAlbum 

Удаленный пользователь может внедрить SQL команды.
Удаленный пользователь может внедрить специально сформированные данные через ‘/album.asp?action=login’ страницу, чтобы выполнить произвольные SQL команды на целевой системе. Пример (для поле username): 

» ‘ union select Cal_User_Password,1,1,1,1,1,1,1,1,1 from Cal_User where Cal_User_UserName = ‘admin’— «

Поле ‘cat’ в ‘/album.asp?cat=’ также уязвимо.

Оставить мнение