CVE-2018-25309

MyBB Recent threads 17.0 Persistent Cross-Site Scripting

CVSS 5.1 MEDIUMEPSS 0.3%CWE-79

En resumen

MyBB Recent threads 17.0 permite que atacantes inyecten scripts maliciosos en el título de threads, que se ejecutan en los navegadores de todos los usuarios que visualizan la página inicial. Esto puede usarse para robar información o ejecutar acciones indeseadas en nombre de los usuarios.

Detalle técnico

Existe una vulnerabilidad XSS persistente en el parámetro de asunto de threads en MyBB 17.0, donde la sanitización insuficiente de entrada permite que atacantes inyecten etiquetas de script que se ejecutan en el contexto de los navegadores de otros usuarios. El ataque requiere la capacidad de crear threads, y los payloads persisten en la base de datos, afectando a todos los usuarios que visualizan la página inicial.

Resumen generado y traducido por IA a partir de la descripción oficial.

MyBB Recent threads 17.0 contains a persistent cross-site scripting vulnerability that allows attackers to inject malicious scripts by creating threads with crafted subject lines. Attackers can create threads with script tags in the subject parameter to execute arbitrary JavaScript in the browsers of all users viewing the index page.

CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:P/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N

Productos afectados

mybb · MyBB Recent threads

PoCs públicas encontradas — 1

cve_referencewww.exploit-db.com/exploits/44420no verificado

⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://community.mybb.com/mods.php?action=view&pid=191 https://www.exploit-db.com/exploits/44420 https://www.vulncheck.com/advisories/mybb-recent-threads-persistent-cross-site-scripting