Программа: Arcadem 2.x
Уязвимость позволяет удаленному пользователю выполнить произвольный PHP сценарий на целевой системе.
1) Уязвимость существует из-за недостаточной обработки входных данных в параметре "loadpage" сценарием index.php. Удаленный пользователь может выполнить произвольный PHP сценарий на целевой системе с привилегиями Web сервера.
Примеры:
index.php?loadpage=../../../../file
index.php?loadpage=[evilscript]
2) Уязвимость существует из-за недостаточной обработки входных данных в параметре "cat" сценарием index.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.
Примеры:
index.php?blockpage=%2E%2Findex%2Ephp%3Fblockpage%3D1%26cat%3D&cat=[SQL Injection]
index.php?blockpage=%2E%2Findex%2Ephp%3Fblockpage%3D1%26cat%3D&cat='
