Программа: SocketKB 1.1.0 и более ранние версии

Уязвимость позволяет удаленному пользователю просмотреть файлы на системе и
выполнить произвольные SQL команды в базе данных приложения.

1. Уязвимость существует при обработке входных данных в параметрах "node" и "art_id".
Удаленный пользователь может с помощью специально сформированного URL выполнить
произвольные SQL команды в базе данных приложения.

Примеры:

/?__f=category&node=[SQL]
/?__f=rating_add&art_id=[SQL]

2. Отсутствует фильтрация входных данных в параметре "__f". Удаленный
пользователь может подключить произвольные файлы на локальной системе. Для
успешной эксплуатации уязвимости опция "magic_quotes_gpc" должна быть выключена.

 

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

    • Открыть комментарии
    Подписаться
    Уведомить о
    0 комментариев
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии