CVE-2022-39265

Mail settings' command parameter injection in mybb

CVSS 7.2 HIGHEPSS 2.2%CWE-74

Em resumo

O software de fórum MyBB permite que administradores com permissão para gerenciar configurações injetem comandos através dos parâmetros de configuração de e-mail, potencialmente levando à exposição de informações sensíveis ou execução remota de código no servidor.

Detalhe técnico

Vulnerabilidade de injeção de comando (CWE-74) no tratamento de parâmetros de configuração de e-mail do MyBB. Requer acesso ao Admin CP com permissão de gerenciamento de configurações. Um atacante pode injetar comandos arbitrários através da configuração mail_parameters, que são passados sem sanitização à função mail() do PHP, permitindo RCE ou exposição de informações dependendo da configuração do programa de e-mail e permissões de arquivo.

Resumo gerado e traduzido por IA a partir da descrição oficial.

MyBB is a free and open source forum software. The _Mail Settings_ → Additional Parameters for PHP's mail() function mail_parameters setting value, in connection with the configured mail program's options and behavior, may allow access to sensitive information and Remote Code Execution (RCE). The vulnerable module requires Admin CP access with the `_Can manage settings?_` permission and may depend on configured file permissions. MyBB 1.8.31 resolves this issue with the commit `0cd318136a`. Users are advised to upgrade. There are no known workarounds for this vulnerability.

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

Produtos afetados

mybb · mybb

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://github.com/mybb/mybb/blob/mybb_1830/install/resources/settings.xml#L2331-L2338 https://github.com/mybb/mybb/commit/0cd318136a10b029bb5c8a8f6dddf39d87519797 https://github.com/mybb/mybb/security/advisories/GHSA-hxhm-rq9f-7xj7 https://mybb.com/versions/1.8.31/