Программа: Mini-NUKE 1.8.2 и более ранние версии

Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды
в базе данных приложения и обойти ограничения безопасности.

1. Уязвимость существует из-за недостаточной обработки входных данных в
параметре "hid" сценария "news.asp". Удаленный пользователь может с помощью
специально сформированного URL выполнить произвольные SQL команды в базе данных
приложения.

Пример:

http://[victim]/news.asp?Action=Print&hid=[code]

2. Уязвимость существует из-за отсутствия проверки подлинности пользователя в
сценарии "membership.asp". Удаленный пользователь может изменить пароль
произвольному пользователю на системе.

Пример:

http://[victim]/membership.asp?action=lostpassnew
 



Оставить мнение