На сайте Intel найдены SQL-inj

Известный специалист по sql-inj — хакер Unu опубликовал интересную sql-инъекцию, найденную на сайте Intel, а если точнее, то уяивзмость была найдена на веб-сайте Intel Channel Webinars, который функционирует в рамках программы дистрибуции Интел.

Интересных моментов несколько. Во-первых, пароли администраторов хранятся в базе в незашифрованном виде. Кроме того, конфигурация базы данных позволяла выполнить функцию load_file, это дает возможность пробовать загрязить вебшелл. В случае загрузки шелла появилась бы возможность разместить полноценный дефейс на главной странице. Поэтому уязвимость больше, чем серьезная.

Также интересен тот факт, что в таблицах базы данных содержались сведения о кредитных картах (credit_card_number, card_expire_date и card_cvv) в незашифрованном виде.

Скриншоты можно посмотреть здесь: один, два, три, четыре и пять.