Программа: PHP-Nuke 7.8
Обнаруженные уязвимости позволяют
удаленному пользователю выполнить
произвольные SQL команды в базе данных
приложения. Уязвимость обнаружена при
обработке входных данных в параметре username в
модуле Your_Account, в параметре url модуля Downloads и
в параметре description модуля Web_links. Удаленный
пользователь может с помощью специально
сформированного URL выполнить произвольные
SQL команды в базе данных приложения.
Примеры:
http://[target]/[path]/modules.php?name=Downloads &d_op=Add&url=[SQL]&title=what&description=what
http://[target]/[path]/modules.php?name=Web_Links &l_op=Add&title=what&description=
[SQL]&url=what
