SQL-инъекция в MaxWebPortal

Описание:
Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных уязвимого приложения.

Уязвимость существует из-за отсутствия должной проверки входных данных в различных функциях:

inc_top.asp
inc_function.asp
pic_pop_share.asp
pic_pop_share.asp
pm_dele te2.asp
pm_pop_privatesend_info.asp
pm_view.asp?marknew=1
pop_announce_delete.asp
pop_avatar_delete.asp
pop_delete.asp
pop_profile.asp
privatedelete.asp
privatese nd_info.asp
register.asp

Удаленный пользователь может с помощью специально сформированного URL выполнить произвольные SQL команды в базе данных приложения.

Пример/Эксплоит: См. источник сообщения.

URL производителей: www.maxwebportal.com

Решение: Способов устранения уязвимости не существует в настоящее время.