Программа: Censura 1.15.04
Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения.
Уязвимость существует из-за недостаточной обработки входных данных в параметре «vendorid» сценарием censura.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.
Пример:
censura.php?cmd=vendor_info&vendorid=-1/* */union/**/select/**/0,username,password,3,4,5,6,
7,8,9,10,12,13,14,15,16/**/from/**/users/**/
