Программа: MRCGIGUY FreeTicket 1.x

Уязвимость позволяет удаленному пользователю выполнить произвольные SQL
команды в базе данных приложения. Уязвимость существует из-за недостаточной
обработки входных данных в параметрах "id" и "email" (когда "action" установлен
в "showtickets") и в POST параметрах "name", "email", "subject", и "message"
(когда "action" установлен в "sendmess") сценарием contact.php. Удаленный
пользователь может с помощью специально сформированного запроса выполнить
произвольные SQL команды в базе данных приложения.

Эксплоит:

http://website.com/contact.php?id=-1′ union select 1,2,3,4,5,6,7,8,9,10/*



Оставить мнение