CVE-2025-48940
MyBB's upgrade component vulnerable to local file inclusion
Em resumo
O componente de atualização do MyBB não valida corretamente as entradas do usuário, permitindo que atacantes leiam arquivos arbitrários do servidor através de inclusão local de arquivos. Isso requer que o instalador esteja desbloqueado e acessível, mas representa um risco sério nessas condições.
Detalhe técnico
Inclusão local de arquivo (CWE-22) no componente de atualização do MyBB resulta de validação insuficiente de parâmetros fornecidos pelo usuário. O vetor de ataque requer um instalador desbloqueado (arquivo `install/lock` ausente) ou autenticação de administrador combinada com acesso a `install/index.php`; a exploração bem-sucedida permite leitura de arquivos arbitrários no servidor.
Resumo gerado e traduzido por IA a partir da descrição oficial.
MyBB is free and open source forum software. Prior to version 1.8.39, the upgrade component does not validate user input properly, which allows attackers to perform local file inclusion (LFI) via a specially crafted parameter value. In order to exploit the vulnerability, the installer must be unlocked (no `install/lock` file present) and the upgrade script must be accessible (by re-installing the forum via access to `install/index.php`; when the forum has not yet been installed; or the attacker is authenticated as a forum administrator). MyBB 1.8.39 resolves this issue.
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
Produtos afetados
mybb · mybbQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →