CVE-2023-53978

myBB Forums 1.8.26 Stored Cross-Site Scripting via Forum Announcements

CVSS 5.1 MEDIUMEPSS 0.2%CWE-79

En resumen

myBB Forums 1.8.26 tiene una vulnerabilidad donde administradores pueden inyectar scripts maliciosos en anuncios del foro. Cuando otros usuarios ven estos anuncios, los scripts ocultos se ejecutan en sus navegadores, pudiendo robar información o realizar acciones no deseadas.

Detalle técnico

XSS almacenado en el sistema de anuncios del foro permite que administradores autenticados inyecten JavaScript malicioso a través del campo de título del anuncio en la interfaz 'Forums and Posts' > 'Forum Announcements'. El payload inyectado persiste en la base de datos y se ejecuta en los navegadores de todos los usuarios que visualizan el anuncio, permitiendo robo de credenciales, secuestro de sesión o desfiguración sin interacción de la víctima.

Resumen generado y traducido por IA a partir de la descripción oficial.

myBB Forums 1.8.26 contains a stored cross-site scripting vulnerability in the forum announcement system that allows authenticated administrators to inject malicious scripts when creating announcements. Attackers can exploit this vulnerability by inserting script payloads in the announcement title field when adding announcements through the 'Forums and Posts' > 'Forum Announcements' interface, causing arbitrary JavaScript to execute when the announcement is displayed on the forum.

CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:P/VC:L/VI:L/VA:N/SC:L/SI:L/SA:N

Productos afectados

Mybb · myBB forums

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://mybb.com/https://www.exploit-db.com/exploits/51136 https://www.vulncheck.com/advisories/mybb-forums-stored-cross-site-scripting-via-forum-announcements