Программа: MWOpen E-Commerce

Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения. Уязвимость существует из-за недостаточной обработки входных данных в параметре «id» сценарием leggi_commenti.asp. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.

Пример:

http://[target]/[mwopen_path]/leggi_commenti.asp?id=9999+union+select+null, null,password,nome,null,data,null+from+utenti+where+Admin=true



Оставить мнение