SQL-инъекция в Land Down Under

Описание:
Обнаружена SQL-инъекция в Land Down Under. Удаленный атакующий может выполнить произвольный SQL код на уязвимой системе.

Уязвимость существует из-за недостаточной фильтрации входных данных в файле 'users.php'. Пример:

/users.php?f=1&s=1'[sql code here]&w=asc&d=50
/users.php?f=1&s=name&w=1'[sql code here]&d=50
/users.php?f=1&s=name&w=asc&d=1'[sql code here]
/users.php?f=1&s=1'[sql code here]&w=asc
/users.php?f=1&s=name&w=1'[sql code here]
/comments.php?id=1"[sql code here]

Также уязвимость в файле 'auth.php' позволяет атакующему выполнить SQL-инъекцию посредством POST запроса. Пример:

POST /auth.php?m=register&a=add HTTP/1.1

Host: www.neocrome.net
Content-Type: application/x-www-form-urlencoded
Content-Length: 123

rusername="[sql code here]&remail=scanner@ptsecurity.com&rpassword1=1&rpassword2=1&rlocation=1&roccupation=1&r userwebsite=1&

POST /auth.php?m=register&a=add HTTP/1.1

Host: www.neocrome.net
Content-Type: application/x-www-form-urlencoded
Content-Length: 102

rusername=1&remail="[sql code here]&rpassword1=1&rpassword2=1&rlocation=1&roccupation=1&ruserwebsite=1&x=1&rcountry=1

Удаленный атакующий может получить данный об установочной директории приложения на сервере. Пример:

/plug.php?h=1'

URL производителя: www.neocrome.net/index.php?msingle&id91

Решение: Установите обновление
www.neocrome.net/index.php?msingle&id91