Программа: Widget Property 1.1.19 и более ранние версии
Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды
в базе данных приложения. Уязвимость существует при обработке входных данных в
параметрах "property_id", "zip_code", "property_type_id", "price" и "city_id"
сценария "property.php". Удаленный пользователь может с помощью специально
сформированного URL выполнить произвольные SQL команды в базе данных приложения.
Примеры:
/property.php?action=property&property_id=[SQL]
/property.php?action=search&city_id=&zip_code =[SQL]&price=&property_type_id=1&submit=submit
/property.php?action=search&city_id=&zip_code= & price=75000&property_type_id=[SQL]&submit=submit
/property.php?action=search&city_id=&zip_code= & price=[SQL]&property_type_id=&submit=submit
/property.php?action=search&city_id=[SQL]&zip_code= & price=&property_type_id=&submit=submit
