SQL injection vulnerability in system/core/users/users.profile.inc.php in Neocrome Seditio 1.10 and earlier allows remote authenticated users to execute arbitrary SQL commands via a double-url-encoded id parameter to users.php that begins with a valid filename, as demonstrated by "default.gif" followed by an encoded NULL and ' (apostrophe) (%2500%2527).

Vulnerabilidad de inyección SQL en system/core/users/users.profile.inc.php de Neocrome Seditio 1.10 y anteriores permite a usuarios autenticados remotamente ejecutar comandos SQL de su elección a través del parámetro id doblemente codificado en forma de url para users.php que comienza con un nombre de archivo válido, como ha sido demostrado por "default.gif" seguido por un NULL codificado y un ' (apóstrofe) (%2500%2527).