Simple Machines Forum Memberlist.php SQL Injection Vulnerability

Simple machine Forum es propenso a una vulnerabilidad de SQL Injection.

Esta vulnerabilidad podría permitir ataques en forma remota realizando las preguntas adecuadas de la base de datos, teniendo como resultado la modificación de la lógica de la pregunta u otros ataques. Un ataque exitoso puede permitir a un atacante obtener el login del administrador y ganar el acceso administrativo a un sitio.

Simple machine Forum 1,1 rc1 es vulnerable. Otras versiones anteriores pueden verse afectadas tambien.

Prueba de Concepto:

http://example.com/smf/index.php?action=mlist;sa=all;start='[SQL]

fuente:securityfocus

Salu2