SQL инъекция в MyBulletinBoard

Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных уязвимого приложения. Уязвимость существует в сценарии /admin/index.php из-за недостаточной обработки входных данных в поле Username при выключенной опции magic_quotes_gpc.
Удаленный пользователь может выполнить произвольные SQL команды в базе данных и получить административные привилегии в приложении. Подробнее можно прочитать тут.

Например:
Username: ‘ or 1=1 /*
Password: blank
member.php?action=login : username='[SQL INJECTION]
polls.php?action=newpoll&tid=1&polloptions='[SQL INJECTION]
search.php?action='[SQL Injection]
member.php?action='[SQL Injection]

Источник: SecurityLab