Уязвимости SQL-инъекций были обнаружены в Ajax.php, ForWindow.php, ForExport.php, Modules.php, functions/HackingLogFnc.php в OpenSis Community Edition 9.1 - 8.0 и, возможно, в более ранних версиях. Аутентифицированный пользователь может выполнить SQL-инъекцию из-за недостаточной обработки входных данных. Приложение принимает произвольное значение из заголовка “X-Forwarded-For” и напрямую добавляет его в оператор SQL INSERT, что приводит к SQL-инъекции.