Программа: SmE GB Host 1.21, возможно более ранние
версии

Уязвимость позволяет удаленному
пользователю выполнить произвольные SQL
команды в базе данных приложения.

Уязвимость существует из-за
недостаточной обработки входных данных в
поле username сценария "/sme_admin/login.php".
Удаленный пользователь может с помощью
специально сформированного запроса
выполнить произвольные SQL команды в базе
данных приложения. Удачная эксплуатация
уязвимости возможна при выключенной опции
"magic_quotes_gpc".

Пример:

Username: ‘ or 1/*
Password: any



Оставить мнение