Computer Security

Security Advisory: SQL Injection vulnerability in myPHPNuke
back  news / advisories / forum / software / advertising / search / exploits  forward
[EN] securityvulns.ru
no-pyccku



Related information

  Daily web applications security vulnerabilities summary (PHP, ASP, JSP, CGI, Perl)

  MULTIPLE SQL INJECTION VULNERABILITIES -- Online Grades & Attendance v-3.2.6 -->

  OCS Inventory NG 1.02 - Multiple SQL Injections

  (Post Form --> Parent Register (name)) Credentials Changer (SQLi) EXPLOIT -- Online Grades & Attendance v-3.2.6-->

From:MustLive <mustlive_(at)_websecurity.com.ua>
Date:01.06.2009
Subject:SQL Injection vulnerability in myPHPNuke

Здравствуйте 3APA3A!

Сообщаю вам о найденной мною SQL Injection уязвимости в системе
myPHPNuke.

SQL Injection:

POST запрос на странице http://site/admin.php

") from mpn_authors where benchmark(10000,md5(now()))!=1/*
В поле Nickname.

Auth Bypass атака в данном случае невозможна, только Blind SQL
Injection. Атака возможна при magic quotes off.

Уязвимы myPHPNuke 1.8.8_8rc2 и предыдущие версии.

Дополнительная информация о данной уязвимости у меня на сайте:
http://websecurity.com.ua/3190/

Best wishes & regards,
MustLive
Администратор сайта
http://websecurity.com.ua
About | Terms of use | Privacy Policy
© SecurityVulns, 3APA3A, Vladimir Dubrovin
Nizhny Novgorod

 
 


Rating@Mail.ru
test server