Программа: WebSPELL 4.01.01

Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения. Уязвимость существует из-за недостаточной обработки входных данных в параметре "site" сценарием index.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.

Пример:

http://[PAGE]/[PATH]/index.php?site=squads&getsquad=Where+1= 0+Union+Select+1,1,username,1,password,1+from+ [PREFIX]_user/*

Оставить мнение