SQL-инъекция в WordPress Plugin WP-Cal

Рекомендуем почитать:

Xakep #304. IP-камеры на пентестах

Содержание выпуска
Подписка на «Хакер»-60%

Программа: WordPress Plugin WP-Cal 0.3

Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения. Уязвимость существует из-за недостаточной обработки входных данных сценарием editevent.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.

Пример:

http://www.example.com/wp-content/plugins/wp-cal/functions/editevent.php? id=-1%20union%20select%201,concat(user_login,0x3a,user_pass,0x3a,user_email), 3,4,5,6%20from%20wp_users--

SQL-инъекция в WordPress Plugin WP-Cal

Xakep #304. IP-камеры на пентестах

Подпишись на наc в Telegram!

Из рубрики «Взлом»

Новый поиск. Колонка главреда

MEGANews. Самые важные события в мире инфосека за ноябрь

Workplace OS. Вспоминаем историю самого крупного провала IBM

CVE со скоростью света. Исправляем публичный эксплоит для LiteSpeed Cache

Трюки

Не тапай хомяка! Как я автоматизировал игру Hamster Kombat

Кастомный Arch. Создаем образы Arch Linux для десктопа и Raspberry Pi

Диета для Arch Linux. Запускаем Arch на компьютерах с малым объемом памяти

Карманный Arch. Делаем флешку с живым образом Arch Linux

Последние новости

Опенсорсный игровой движок Godot применяют для распространения малвари

Microsoft отрицает, что Word и Excel собирают данные для обучения ИИ

Новая хак-группа TaxOff атаковала госструктуры РФ

Ликвидирован пиратский стриминговый сервис, насчитывавший 22 млн пользователей

Все больше российских пользователей сталкиваются со сталкерским ПО