CVE-2021-47934
MyBB Timeline Plugin 1.0 Cross-Site Scripting and CSRF
En resumen
El Plugin Timeline de MyBB 1.0 permite que atacantes inyecten scripts maliciosos en títulos de hilos, posts y perfiles de usuarios, que se ejecutan cuando otras personas ven el contenido. Los atacantes también pueden engañar a los usuarios para que cambien sus fotos de portada sin permiso.
Detalle técnico
El plugin no sanitiza correctamente las entradas del usuario en títulos de hilos, contenido de posts y campos de perfil (Ubicación, Bio), posibilitando ataques XSS almacenados. Además, la acción de perfil en timeline.php carece de validación de tokens CSRF, permitiendo que atacantes forjen solicitudes que modifiquen la foto de portada de un usuario cuando la víctima visita una página maliciosa.
Resumen generado y traducido por IA a partir de la descripción oficial.
MyBB Timeline Plugin 1.0 contains cross-site scripting vulnerabilities that allow attackers to inject malicious scripts through thread titles, post content, and user profile fields like Location and Bio. Attackers can also exploit a cross-site request forgery vulnerability in the timeline.php profile action to change a user's cover picture by crafting malicious forms that execute when victims visit affected profiles.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:L/VA:N/SC:L/SI:L/SA:L
Productos afectados
MyBB · MyBB Timeline PluginPoCs públicas encontradas — 1
cve_referencewww.exploit-db.com/exploits/49467no verificado⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.
¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →