SQL-инъекция в Softbiz Resource Repository Script

Описание:
Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения.

Уязвимость существует из-за недостаточной обработки входных данных в параметре "sbcat_id" сценария "showcats.php" и параметре "sbres_id" в сценариях "details_res.php", "refer_friend.php" и "report_link.php". Удаленный пользователь может с помощью специально сформированного URL выполнить произвольные SQL команды в базе данных приложения. Примеры:

http://[host]/showcats.php?sbcat_id=[sql]
http://[host]/details_res.php?sbres_id=[sql]
http://[host]/refer_friend.php?sbres_id=[sql]
http://[host]/report_link.php?sbres_id=[sql]

URL производителя: www.softbizscripts.com/resource-repository-script-features.php

Решение: Способов устранения уязвимости не существует в настоящее время.

Источник: