Advanced Poll 2.02 - SQL Injection

EDB-ID:

18076

CVE:





Platform:

PHP

Date:

2011-11-04


##############################################################################################################
[+] Title              :  Advanced Poll 2.02 SQL Injection Vulnerability
[+] Affected Version   :  v2.02
[+] Software Link      :  http://www.electrolized.free.fr/scripts-php/pollphp.zip
[+] Tested on          :  Windows 7 <Firefox>
[+] Date               :  15/10/2011
[+] Dork               :  inurl:/db/admin intitle:Advanced Poll 2.02
[+] Category           :  Webapps
[+] Severity           :  High
[+] Author             :  Yassin Aboukir
[+] Site               :  http://www.yaboukir.com
###############################################################################################################

[+] About the software :  Sondage très puissant, gestion de plusieurs sondage, interface  d'administration.
 Ce script utilise soit un fichier texte soit une base de donnée. 

[+] How that can be exploited :

                http://localhost/path/db/db/popup.php?action=results&poll_ident=1 [SQL Me]

[+] Fix :  upgrade to last release.