CVE-2018-25309
MyBB Recent threads 17.0 Persistent Cross-Site Scripting
Em resumo
MyBB Recent threads 17.0 permite que atacantes injetem scripts maliciosos no título de threads, que são executados nos navegadores de todos os usuários que visualizam a página inicial. Isso pode ser usado para roubar informações ou executar ações indesejadas em nome dos usuários.
Detalhe técnico
Uma vulnerabilidade XSS persistente existe no parâmetro de assunto de threads do MyBB 17.0, onde a sanitização insuficiente de entrada permite que atacantes injetem tags de script que executam no contexto dos navegadores de outros usuários. O ataque requer a capacidade de criar threads, e os payloads persistem no banco de dados, afetando todos os usuários que visualizam a página inicial.
Resumo gerado e traduzido por IA a partir da descrição oficial.
MyBB Recent threads 17.0 contains a persistent cross-site scripting vulnerability that allows attackers to inject malicious scripts by creating threads with crafted subject lines. Attackers can create threads with script tags in the subject parameter to execute arbitrary JavaScript in the browsers of all users viewing the index page.
CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:P/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N
Produtos afetados
mybb · MyBB Recent threadsPoCs públicas encontradas — 1
cve_referencewww.exploit-db.com/exploits/44420não verificado⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.
Quer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →