Next Click Ventures RealtyScript 4.0.2 содержит уязвимости SQL-инъекций, которые позволяют неаутентифицированным злоумышленникам манипулировать запросами к базе данных путем внедрения произвольного кода SQL через параметр GET «u_id» в /admin/users.php и параметр POST «agent[]» в /admin/mailer.php. Злоумышленники могут использовать методы слепого внедрения SQL-кода на основе времени для извлечения конфиденциальной информации из базы данных или вызвать отказ в обслуживании с помощью полезных данных, основанных на спящем режиме.
Показать оригинальное описание (EN)
Next Click Ventures RealtyScript 4.0.2 contains SQL injection vulnerabilities that allow unauthenticated attackers to manipulate database queries by injecting arbitrary SQL code through the GET parameter 'u_id' in /admin/users.php and the POST parameter 'agent[]' in /admin/mailer.php. Attackers can exploit time-based blind SQL injection techniques to extract sensitive database information or cause denial of service through sleep-based payloads.
Характеристики атаки
Последствия
Строка CVSS v4.0