CVE-2018-25247
MyBB Like Plugin 3.0.0 Cross-Site Scripting via User Profiles
Em resumo
O Plugin Like do MyBB versão 3.0.0 permite que usuários autenticados injetem scripts maliciosos em títulos de posts, que são executados quando outras pessoas visualizam perfis mostrando posts curtidos. Isso pode roubar dados pessoais ou executar ações indesejadas em nome do visualizador.
Detalhe técnico
Vulnerabilidade de XSS armazenado no Plugin Like do MyBB 3.0.0 onde atacantes autenticados injetam JavaScript através de assuntos de posts/tópicos; a vulnerabilidade é acionada quando vítimas visualizam um perfil exibindo posts curtidos do atacante com renderização não sanitizada, resultando em execução de script arbitrário no contexto do navegador da vítima.
Resumo gerado e traduzido por IA a partir da descrição oficial.
MyBB Like Plugin 3.0.0 contains a stored cross-site scripting vulnerability. Authenticated attackers can inject script payloads into post or thread subjects; when other users view a profile that displays the attacker's liked posts, the unsanitized subject is rendered, executing the script in the viewer's browser.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:A/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N
Produtos afetados
MyBB · MyBB Like PluginPoCs públicas encontradas — 1
cve_referencewww.exploit-db.com/exploits/45179não verificado⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.
Quer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →