Программа: OzzyWork Galeri 2.0, возможно другие версии.

Обнаруженные уязвимости позволяют удаленному пользователю выполнит произвольные
SQL команды в базе данных приложения и скомпрометировать уязвимую систему.

1. Уязвимость существует из-за недостаточной обработки входных данных в полях "id"
и "password" в сценарии admin_default.asp. Удаленный пользователь может с
помощью специально сформированного запроса выполнит произвольные SQL команды в
базе данных приложения.

2. Уязвимость существует из-за недостаточной обработки расширений файлов в
сценарии add.asp. Удаленный пользователь может загрузить и выполнить
произвольные .asp файлы на системе.
 



Оставить мнение