Программа: WWWeb Concepts CactuShop 5.x
Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения.
Уязвимость существует из-за недостаточной обработки входных данных в параметре "prodtype" сценарием prodtype.asp. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.
Примеры:
http://target/[path]/prodtype.asp?prodtype=[SQL]
http://target/[path]/product.asp?product=[SQL]
