Программа: Cartweaver 2.16.11 for ColdFusion, возможно другие версии

Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды
в базе данных приложения. Уязвимость существует из-за недостаточной обработки
входных данных в параметрах "category" и "keywords" в сценарии Results.cfm и
параметре "ProdID" в сценарии Details.cfm. Удаленный пользователь может с
помощью специально сформированного запроса выполнить произвольные SQL команды в
базе данных приложения.

Пример:

/Results.cfm?category=[SQL]
/Results.cfm?keywords=[SQL]
/Details.cfm?ProdID=[SQL]

Удаленный пользователь может передать некорректные значения параметров в
сценарии Results.cfm и Details.cfm и получить данные об установочной директории
приложения на сервере.
 



Оставить мнение