Уязвимость позволяет удаленному пользователю выполнить произвольный php сценарий на системе.
Удаленный пользователь может загрузить файл, содержащий PHP сценарий в каталог upload, угадать его название, основываясь на времени и выполнить его с привилегиями web сервера. Пример:
[target]/[/url][path]/[time()result]-[PHPfilename]?command=cat%20/etc/passwd
«SQL-инъекция в Mall23 eCommerce» Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения.
Уязвимость существует из-за недостаточной обработки входных данных в параметре idPage.
Удаленный пользователь может с помощью специально сформированного URL выполнить произвольные SQL команды в базе данных приложения.
Уязвимый файл: infopage.asp — variable $idPage
Вариант возможной инъекции /infopage.asp?idPage='[SQL INJECTION]
Пример ошибки: Line 1: Incorrect syntax near 'Y'. SELECT BodyText AS sBody, PageTitle FROM CustomPages (NOLOCK) WHERE idPage = ' AND Active = 'Y' ADODB.Recordset error '800a0e78' Operation is not allowed when the object is closed. /infopage.asp, line 58
