GestDown中存在多个SQL注入漏洞,远程攻击者可以借助(1)catdownload.php中的categorie参数,或(2) download.php或(3) hitcounter.php中的id参数执行任意SQL指令。