Программа: MiniTwitter 0.2b

Уязвимость позволяет удаленному пользователю выполнить произвольные SQL
команды в базе данных приложения. Уязвимость существует из-за недостаточной
обработки входных данных в параметре «user» сценарием index.php. Удаленный
пользователь может  помощью специально сформированного запроса выполнить
произвольные SQL команды в базе данных приложения.

Эксплоит:

http://[HOST]/[HOME_PATH]/index.php?user=2%27+UNION+ALL+SELECT+2,
concat(nick,0x3A3A3A,password)+FROM+mt_users+WHERE+id_usr=1/*



Оставить мнение