Программа: webSPELL 4.01.01
Злоумышленник может раскрыть чувствительную информацию и выполнить нападение SQL инъекции.
1. Ошибка в процессе аутентификации позволяет раскрыть содержание базы данных:
Пример:
http://[host]/admin/database.php?action=write&userID=1
2. SQL инъекция:
Пример:
http://[host]/index.php?site=squads&action=show&squadID=[code]
