Рекомендуем почитать:
Хакер #305. Многошаговые SQL-инъекции
Программа: Baal Smart Form до версии 3.2
Удаленный пользователь может получить административный доступ к приложению.
Удаленный пользователь может эксплуатировать уязвимость в странице 'Admin Change Password', чтобы изменить пароль администратора и затем получить административный доступ к приложению.
Путь:
http://[target]/baalsmartform/regadmin.php