SQL-инъекция в VEGO Links Builder
Программа: VEGO Links Builder 2.0
Описание:
Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения.
Уязвимость существует из-за недостаточной обработки входных данных в параметре "username" на странице аутентификации. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения. Удачная эксплуатация уязвимости возможна при выключенной опции "magic_quotes_gpc".
Пример:
Решение: Способов устранения уязвимости на данный момент не существует.
:zns2: Производитель
Источник(1): www.securitylab.ru
Источник(2): evuln.com
Программа: VEGO Links Builder 2.0
Описание:
Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения.
Уязвимость существует из-за недостаточной обработки входных данных в параметре "username" на странице аутентификации. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения. Удачная эксплуатация уязвимости возможна при выключенной опции "magic_quotes_gpc".
Пример:
Код:
Link:
http://host/links/login.php
username: a' or 'a'='a'/*
password: anypassword:zns2: Производитель
Источник(1): www.securitylab.ru
Источник(2): evuln.com