Программа: MWOpen E-Commerce
Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения. Уязвимость существует из-за недостаточной обработки входных данных в параметре «id» сценарием leggi_commenti.asp. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.
Пример:
http://[target]/[mwopen_path]/leggi_commenti.asp?id=9999+union+select+null, null,password,nome,null,data,null+from+utenti+where+Admin=true
