Программа: PHP-Nuke My_eGallery 2.7.9

Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения. Уязвимость существует из-за недостаточной обработки входных данных в параметре «gid» сценарием modules.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.

Пример:

modules.php?op=modload&name=My_eGallery&file=index&do=showgall&gid=-1/* */union/**/select/**/aid,pwd/**/from/**/nuke_authors/**/where/**/radminsuper=1/*



Оставить мнение