CVE-2018-25247

MyBB Like Plugin 3.0.0 Cross-Site Scripting via User Profiles

CVSS 5.1 MEDIUMEPSS 0.2%CWE-79

En resumen

El Plugin Like de MyBB versión 3.0.0 permite que usuarios autenticados inyecten scripts maliciosos en títulos de posts, que se ejecutan cuando otras personas ven perfiles mostrando posts marcados como favoritos. Esto puede robar datos personales o ejecutar acciones no deseadas en nombre del visualizador.

Detalle técnico

Vulnerabilidad de XSS almacenado en Plugin Like de MyBB 3.0.0 donde atacantes autenticados inyectan JavaScript mediante asuntos de posts/temas; la vulnerabilidad se activa cuando víctimas visualizan un perfil que muestra posts marcados como favoritos por el atacante con renderización sin sanitizar, resultando en ejecución de script arbitrario en el contexto del navegador de la víctima.

Resumen generado y traducido por IA a partir de la descripción oficial.

MyBB Like Plugin 3.0.0 contains a stored cross-site scripting vulnerability. Authenticated attackers can inject script payloads into post or thread subjects; when other users view a profile that displays the attacker's liked posts, the unsanitized subject is rendered, executing the script in the viewer's browser.

CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:A/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N

Productos afectados

MyBB · MyBB Like Plugin

PoCs públicas encontradas — 1

cve_referencewww.exploit-db.com/exploits/45179no verificado

⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://community.mybb.com/mods.php?action=view&pid=360 https://www.exploit-db.com/exploits/45179 https://www.vulncheck.com/advisories/mybb-like-plugin-cross-site-scripting-via-user-profiles