Программа: , возможно более ранние версии
Уязвимость позволяет удаленному
пользователю выполнить произвольные SQL
команды в базе данных приложения.
Уязвимость существует из-за недостаточной
обработки входных данных в параметре "CategoryID"
в сценарии prodpage.cfm, параметре "SubCatID" в
сценарии index.cfm, параметре "OrderID" в
сценарии shipping.cfm и параметре "ItemID" в
сценарии proddetail.cfm. Удаленный пользователь
может с помощью специально сформированного
запроса выполнить произвольные SQL команды в
базе данных приложения.
Пример:
/prodpage.cfm?CFID=&CFTOKEN=&CategoryID=[SQL]
/index.cfm?CFID=1&CFTOKEN=1&SubCatID=[SQL]
/proddetail.cfm?CFID=1&CFTOKEN=1&ItemID=[SQL]
/checkout.cfm?CFID=&CFTOKEN=&OrderID=[SQL]
/shipping.cfm?CFID=&CFTOKEN=&OrderID=[SQL]
