Программа: Invision Power Board 1.3.1 и более ранние
версии
Уязвимость позволяет удаленному
пользователю выполнить произвольные SQL
команды в базе данных уязвимого приложения.
Уязвимость существует из-за некорректной
фильтрации входных данных в переменной
'$this->first' (параметр st) функции Members сценария
memberlist.php. Удаленный пользователь может с
помощью специально сформированного URL
выполнить произвольные SQL команды в базе
данных приложения.
Пример:
http://[target]/forums/index.php?act=Members&max_results=30& filter=1&sort_order=asc&sort_key=name&st=SQL_INJECTION
