ClickMania 0DAY SQL Injection (CVE-2018-10283)

Basicamente a vulnerabilidade é um Blind SQL Injection que se encontra no sistema de lojas virtuais, desenvolvido pela ClickMania.

![https://www.cliquemania.com/site/product_images/logo_oficial.png]

Proof of Concept

localhost/patch/remote.php?w=recomendar&id=BlindSQL

Curiosidade

Algo que me chamou bastante atenção no sistema desenvolvido pela click mania foi seus painéis administrativos usarem um token salvo no banco de dados para efetuar o login assim facilitando ao atacante efetuar o login mesmo sem descriptografar a hash

Falha Reportada 02/20/2017

Postagem 02/24/2018

ClickMania 0DAY SQL Injection (CVE-2018-10283)

Horus CMS (CVE-2018-17410)

G-tickets SQL Injection (CVE-2018-10284)

Subscribe to InsightL4b - Security Research Lab

Subscribe to InsightL4b - Security Research Lab