Программа: AudiStat 1.x
Уязвимость позволяет удаленному пользователю выполнить произвольные SQL
команды в базе данных приложения и выполнить XSS нападение на целевую систему.
1) Уязвимость существует из-за недостаточной обработки входных данных в
параметрах "year", "month", и "mday" сценарием index.php. Удаленный пользователь
может с помощью специально сформированного запроса выполнить произвольные SQL
команды в базе данных приложения.
2) Уязвимость существует из-за недостаточной обработки входных данных в
параметрах "year" и "mday" сценарием index.php. Атакующий может выполнить
произвольный сценарий в браузере жертвы в контексте безопасности уязвимого
сайта.
Эксплоит:
http://[server]/stats/?year=kaMtiEz&month=tukulesto&mday=-15+union+all+select+@@version,user()--
