PHPads 2.0 содержит уязвимость SQL-инъекции, которая позволяет неаутентифицированным злоумышленникам выполнять произвольные SQL-запросы путем внедрения вредоносного кода через параметр BannerID в файле click.php3. Злоумышленники могут отправлять созданные значения BannerID, используя синтаксис комментариев SQL и такие функции, как ExtractValue, для извлечения конфиденциальной информации из базы данных, такой как текущее имя базы данных.
Показать оригинальное описание (EN)
PHPads 2.0 contains an SQL injection vulnerability that allows unauthenticated attackers to execute arbitrary SQL queries by injecting malicious code through the bannerID parameter in click.php3. Attackers can submit crafted bannerID values using SQL comment syntax and functions like extractvalue to extract sensitive database information such as the current database name.
Характеристики атаки
Последствия
Строка CVSS v4.0