Программа: AudiStat 1.x

Уязвимость позволяет удаленному пользователю выполнить произвольные SQL
команды в базе данных приложения и выполнить XSS нападение на целевую систему.

1) Уязвимость существует из-за недостаточной обработки входных данных в
параметрах "year", "month", и "mday" сценарием index.php. Удаленный пользователь
может с помощью специально сформированного запроса выполнить произвольные SQL
команды в базе данных приложения.

2) Уязвимость существует из-за недостаточной обработки входных данных в
параметрах "year" и "mday" сценарием index.php. Атакующий может выполнить
произвольный сценарий в браузере жертвы в контексте безопасности уязвимого
сайта.

Эксплоит:

http://[server]/stats/?year=kaMtiEz&month=tukulesto&mday=-15+union+all+select+@@version,user()—

Оставить мнение