Программа: Chipmunk Guestbook версии до 1.4

Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды
в базе данных приложения. Уязвимость существует из-за недостаточной обработки
входных данных в параметре "username" в сценарии /admin/login.php. Удаленный
пользователь может с помощью специально сформированного запроса выполнить
произвольные SQL команды в базе данных приложения. Удачная эксплуатация
уязвимости возможна при выключенной опции "magic_quotes_gpc".

Пример:

http://victim/[Folder name]/admin/login.php
User : ‘or ‘jr7’=’jr7’ /*
Pass : anything
 



Оставить мнение