Программа: Basic Analysis and Security Engine (BASE) 1.2

Уязвимость позволяет удаленному
пользователю выполнить произвольные SQL
команды в базе данных приложения.
Уязвимость существует из-за недостаточной
обработки входных данных в параметре sig[1] в
сценарии base_qry_main.php. Удаленный пользователь
может с помощью специально сформированного
URL выполнить произвольные SQL команды в базе
данных приложения. Удачная эксплуатация
уязвимости требует выключенной опции
magic_quotes_gpc в конфигурационном файле PHP.

Пример:

http://[host]/base/base_qry_main.php?new=1& sig[0]=%3D&sig[1]=[SQL]&submit=Query+DB



Оставить мнение