Программа: AFFCommerce Shopping Cart 1.1.4, возможно более ранние версии

Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды
в базе данных приложения. Уязвимость существует при обработке входных данных в
параметре "cl" сценария "SubCategory.php", параметре "item_id" в сценариях "ItemInfo.php"
и "ItemReview.php". Удаленный пользователь может с помощью специально
сформированного URL выполнить произвольные SQL команды в базе данных приложения.

Примеры:

http://[host]/standalone/SubCategory.php?cl=[sql]
http://[host]/standalone/ItemInfo.php?item_id=[sql]
http://[host]/standalone/ItemReview.php?item_id=[sql]
 

Оставить мнение