projectworlds Car Rental System pay.php 参数 (Parameter) SQL 注入漏洞

在 projectworlds Car Rental System 1.0 中发现了一个漏洞。组件 Parameter Handler 的文件 /pay.php 中的未知功能受到此漏洞的影响。对参数 mpesa 的操纵可能导致 SQL 注入 (SQL Injection)。攻击可以远程发起。该利用方法已被公开，可能被用于攻击。