Программа: MyPHP 1.0
Обнаруженная уязвимость позволяет
удаленному пользователю выполнить
произвольные SQL команды на системе. SQL-инъекция
возможна из-за некорректной фильтрации
переменной $fd в файле forum.php, переменной $member
файла member.php, переменная $email в файле forgot.php,
переменные $nbuser и $nbpass в файле include.php.
Удаленный пользователь может выполнить SQL_инъекцию
и получить доступ к важным данным.
Пример:
member.php?action=viewpro&member=nonexist' UNION SELECT uid, username, password, status, email, website, aim, msn, location, sig, regdate, posts, password as yahoo FROM nb_member WHERE uid='1
