Программа: LandShop 0.6.3 и более ранние версии
Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды
в базе данных приложения. Уязвимость существует из-за недостаточной обработки
входных данных в параметрах "start", "search_order", "search_type", "search_area"
и "keyword" сценария "ls.php". Удаленный пользователь может с помощью специально
сформированного URL выполнить произвольные SQL команды в базе данных приложения.
Примеры:
/ls.php?lang=en&action=list&start=[SQL]
/ls.php?lang=en&action=list&start=0&CAT_ID=3&keyword =&search_area=&search_type=&infield=&search_order=[SQL]
/ls.php?lang=en&action=list&start=0&CAT_ID=3&keyword =&search_area=&search_type=[SQL]
/ls.php?lang=en&action=list&start=0&CAT_ID=3&keyword=[SQL]
/ls.php?lang=en&action=list&start=0&CAT_ID=3&keyword =&search_area=[SQL]
