CVE-2025-48940

MyBB's upgrade component vulnerable to local file inclusion

CVSS 7.2 HIGHEPSS 0.5%CWE-22

En resumen

El componente de actualización de MyBB no valida adecuadamente las entradas del usuario, permitiendo que los atacantes lean archivos arbitrarios del servidor a través de inclusión local de archivos. Esto requiere que el instalador esté desbloqueado y accesible, pero representa un riesgo grave bajo esas condiciones.

Detalle técnico

Inclusión local de archivo (CWE-22) en el componente de actualización de MyBB resulta de validación insuficiente de parámetros suministrados por el usuario. El vector de ataque requiere un instalador desbloqueado (archivo `install/lock` ausente) o autenticación de administrador combinada con acceso a `install/index.php`; la explotación exitosa permite leer archivos arbitrarios en el servidor.

Resumen generado y traducido por IA a partir de la descripción oficial.

MyBB is free and open source forum software. Prior to version 1.8.39, the upgrade component does not validate user input properly, which allows attackers to perform local file inclusion (LFI) via a specially crafted parameter value. In order to exploit the vulnerability, the installer must be unlocked (no `install/lock` file present) and the upgrade script must be accessible (by re-installing the forum via access to `install/index.php`; when the forum has not yet been installed; or the attacker is authenticated as a forum administrator). MyBB 1.8.39 resolves this issue.

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

Productos afectados

mybb · mybb

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://github.com/mybb/mybb/commit/6e6cfbd524d9101b51e1278ecf520479b64b0f00 https://github.com/mybb/mybb/security/advisories/GHSA-q4jv-xwjx-37cp https://mybb.com/versions/1.8.39