CVE-2018-25250
MyBB Last User's Threads in Profile Plugin 1.2 Persistent XSS
Em resumo
Um plugin do MyBB permite que atacantes injetem scripts maliciosos nos títulos de tópicos. Quando outros usuários visitam o perfil do atacante, esses scripts executam nos navegadores deles sem permissão.
Detalhe técnico
Vulnerabilidade XSS persistente no plugin Last User's Threads in Profile do MyBB versão 1.2, causada por falta de validação no campo de assunto de tópicos. Atacantes criam tópicos com payloads contendo tags de script que são executados no navegador de qualquer usuário que acesse o perfil do atacante, permitindo roubo de sessão ou credenciais.
Resumo gerado e traduzido por IA a partir da descrição oficial.
MyBB Last User's Threads in Profile Plugin 1.2 contains a persistent cross-site scripting vulnerability that allows attackers to inject malicious scripts by crafting thread subjects with script tags. Attackers can create threads with script payloads in the subject field that execute when users visit the attacker's profile page.
CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:P/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N
Produtos afetados
MyBB · MyBB Last User's Threads in Profile PluginPoCs públicas encontradas — 1
cve_referencewww.exploit-db.com/exploits/44339não verificado⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.
Quer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →