Программа: Pay Per Watch & Bid Auktions System
Уязвимость позволяет удаленному пользователю выполнить произвольные SQL
команды в базе данных приложения. Уязвимость существует из-за недостаточной
обработки входных данных в параметре "id_auk" сценарием auktion.php. Удаленный
пользователь может с помощью специально сформированного запроса выполнить
произвольные SQL команды в базе данных приложения.
Эксплоит:
http://www.site.com/auktion/auktion.php?id_auk=1+and+1=1+and+ascii (substring((SELECT
vorname FROM fh_user+WHERE+iduser=1 LIMIT 0,1),1,1)
