Программа: Simple Machines Forum 1.0.4 и более ранние
версии
Уязвимость позволяет удаленному
пользователю выполнить произвольные SQL
команды в базе данных приложения.
Уязвимость существует из-за недостаточной
обработки входных данных в параметре 'msg'.
Удаленный пользователь может с помощью
специально сформированного URL выполнить
произвольные SQL команды в базе данных
приложения.
Пример:
http://[target]/index.php?action=post;msg= 1%20UNION%20SELECT%20memberName,
0,passwd,0,0%20FROM%20smf_members %20WHERE%201/*;topic=8.0; sesc=[VALIDSESCIDHERE]
