Программа: MyPHP 1.0

Обнаруженная уязвимость позволяет
удаленному пользователю выполнить
произвольные SQL команды на системе. SQL-инъекция
возможна из-за некорректной фильтрации
переменной $fd в файле forum.php, переменной $member
файла member.php, переменная $email в файле forgot.php,
переменные $nbuser и $nbpass в файле include.php.
Удаленный пользователь может выполнить SQL_инъекцию
и получить доступ к важным данным.

Пример: 

member.php?action=viewpro&member=nonexist’ UNION SELECT uid, username, password, status, email, website, aim, msn, location, sig, regdate, posts, password as yahoo FROM nb_member WHERE uid=’1



Оставить мнение