Программа: DUware DUnews 1.x

Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения. Уязвимость существует из-за недостаточной обработки входных данных в параметрах "iNews", "action" и "iType" сценарием detail.asp. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.

Примеры:

http://target/type.asp?iType=[SQL Injection]
http://target/detail.asp?iNews=[SQL Injection]
http://target/detail.asp?iType=[SQL Injection]
http://target/detail.asp?action=[SQL Injection]



Оставить мнение