Программа: phpBB2 Plus 1.53

Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения. Уязвимость существует из-за недостаточной обработки входных данных в параметре "mode" сценарием admin_acronyms.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.

Пример:

http://[Target]/[Path]/admin/admin_acronyms.php?mode=edit&id=-1%20UNION%20SELECT%20null,user_password,null%20FROM%20phpbb_users%20where%20user_id=2&sid=AdminHash
 



Оставить мнение