Программа: MX Kart 1.1.2
Уязвимость позволяет удаленному
пользователю выполнить произвольные SQL
команды в базе данных уязвимого приложения.
Уязвимость обнаружена при обработке
входных данных в параметрах 'id_ctg' модуля
category', 'idp' модуля 'pages' и параметре 'id_man'
модуля 'manufacturer'. Удаленный пользователь
может с помощью специально сформированного
URL выполнить произвольные SQL команды в базе
данных приложения.
Пример:
http://[target]/kartDemo/index.php?mod=pages&idp='SQL_INJECT ION
http://[target]/kartDemo/index.php?mod=category&id_ctg='SQL_INJECTION
http://[target]/kartDemo/index.php?id_man='SQL_INJECTION&mod=manufacturer
