Программа: GForge 4.6b2

Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения. Уязвимость существует из-за недостаточной обработки входных данных в параметре «skill_delete» сценарием editprofile.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.

Пример:

/www/people/editprofile.php?skill_delete%5B%5D=484)+UNION+ALL+SELECT+ user_name||unix_pw+from+users—%3d1&MultiDelete=Delete



Оставить мнение