Программа: Enthrallweb eClassifieds

Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения.
Уязвимость существует из-за недостаточной обработки входных данных в параметре "AD_ID" сценарием ad.asp, в параметре "cid" сценарием dircat.asp, и в параметре "sid" сценарием dirSub.asp. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.

Примеры: 

/ad.asp?AD_ID='[sql]
/ad.asp?cat_id='[sql]
/dircat.asp?cid='[sql]
/dirSub.asp?sid='[sql]
/ad.asp?cat_id=35&sub_id='[sql]
/ad.asp?cat_id=35&sub_id=102&ad_id='[sql]

Оставить мнение