Программа: XOOPS Module wfdownloads
Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения. Уязвимость существует из-за недостаточной обработки входных данных в параметре «cid» сценарием viewcat.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.
Пример:
modules/wfdownloads/viewcat.php?cid=999%2F%2A%2A%2Funion %2F%2A%2A%2Fselect+000,concat(uname, 0x3a,pass)/**/from%2F%2A%2A%2Fxoops_users/*where%20pass
