CVE-2018-25248
MyBB Downloads Plugin 2.0.3 Persistent XSS via downloads.php
Em resumo
O Plugin de Downloads do MyBB versão 2.0.3 permite que usuários regulares injetem scripts maliciosos nos títulos de downloads que executam quando administradores os visualizam. Atacantes podem roubar sessões de admin ou fazer ações não autorizadas através de um simples envio de formulário.
Detalhe técnico
Existe uma vulnerabilidade de XSS persistente em downloads.php onde a entrada do usuário no campo de título do download não é sanitizada adequadamente antes de ser armazenada e renderizada. Um usuário pode injetar JavaScript arbitrário que executa no contexto do navegador do administrador durante a validação do download, potencialmente levando ao roubo de sessão ou escalação de privilégio.
Resumo gerado e traduzido por IA a partir da descrição oficial.
MyBB Downloads Plugin 2.0.3 contains a persistent cross-site scripting vulnerability that allows regular members to inject malicious scripts through the download title field. Attackers can submit a new download with HTML/JavaScript code in the title parameter, which executes when administrators validate the download in downloads.php.
CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:P/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N
Produtos afetados
MyBB · MyBB Downloads PluginQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →