Программа: Black Lily 2007

Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения. Уязвимость существует из-за недостаточной обработки входных данных в параметре «cat_id» сценарием index.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.

Пример:

http://www.site.com/[path]/index.php?mod=banners&cat_id=-1′ %20UNION%20ALL%20SELECT%20null, concat(users_nick,0x3a,users_pwd),null, null%20FROM%20cs_users/*



Оставить мнение