Программа: WebspotBlogging 3.0

Уязвимость существует из-за
недостаточной обработки входных данных в
параметре "username" сценария "login.php".
Удаленный пользователь может с помощью
специально сформированного URL выполнить
произвольные SQL команды в базе данных
приложения. Для успешной эксплуатации
уязвимости должна быть отключена опция "magic_quotes_gpc".

Пример:

http://host/webspot/login.php
Username: aaaa’ union select 1,2,3,1,1,6, 7/*
Password: any



Оставить мнение