======================# Продукт: #=======================


HLstatsX - Realtime player statistics
http://www.hlstatsx.com/
http://www.hlstatsx.com/downloads/HLstatsX_V1.00.zip


===================# Уязвимые версии: #===================

HLstatsX >= 1.00 Final

=======================# Описание: #======================

Скрипт playerinfo.inc вообще не фильтрует параметр
$killLimit, который присутствует в 2 SQL-запросах.

Это может быть использовано для удаленной SQL-инъеккции.

hlstats.php?mode=playerinfo&player=1&killLimit=[SQL]

======================# Интересно: #======================

Интересно то, что при выводе ошибки синтакса запроса,
выводится host и username SQL-базы! Как они не догадались
пароль выводить?



Provided by max_pain89