Программа: FreeWebshop.org Script 2.x
Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения и получить доступ на чтение произвольных файлов.
1)Уязвимость существует из-за недостаточной обработки входных данных в параметрах "name", "prod" и "pass". Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.
Пример:
http://[host]/index.php?page=details&prod=[code]
2) Уязвимость существует из-за недостаточной обработки входных данных в параметре "action" сценарием index.php. Удаленный пользователь может получить доступ на чтение произвольных файлов с локальных и внешних источников.
