Программа: ASP Stats Generator 2.1.1 и предыдущие версии

Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения.

Пример:

http://localhost/asg/pages.asp?order=ASC union select sito_psw,1,1 from tblst_config&mese=1

Данные, переданные в параметр strAsgSknPageBgColour в "settings_skin.asp" не проверяются, в результате удаленный пользователь может выполнить произвольный ASP код.

Пример



Оставить мнение