CVE-2018-25249
MyBB My Arcade Plugin 1.3 Persistent XSS via Comment
En resumen
El plugin My Arcade de MyBB versión 1.3 permite que usuarios autenticados inyecten código malicioso en comentarios de puntuaciones que se ejecuta cuando otros ven o editan el comentario. Esto puede robar datos o realizar acciones no deseadas en sus cuentas.
Detalle técnico
Vulnerabilidad XSS persistente en la funcionalidad de comentarios de puntuación del arcade que no sanitiza entrada de usuarios autenticados. El JavaScript inyectado se ejecuta en los navegadores de usuarios que acceden o modifican los comentarios afectados, permitiendo robo de sesión o credenciales.
Resumen generado y traducido por IA a partir de la descripción oficial.
MyBB My Arcade Plugin 1.3 contains a persistent cross-site scripting vulnerability that allows authenticated users to inject malicious scripts through arcade game score comments. Attackers can add crafted HTML and JavaScript payloads in the comment field that execute when other users view or edit the comment.
CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:P/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N
Productos afectados
MyBB · MyBB My Arcade PluginPoCs públicas encontradas — 1
cve_referencewww.exploit-db.com/exploits/44186no verificado⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.
¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →