Fora MyBB w wersji od 1.8.16 do 1.8.25 włącznie są dotknięte dwiema lukami w zabezpieczeniach, które można połączyć w celu uzyskania zdalnego wykonania kodu (RCE) bez wcześniejszego dostępu do uprzywilejowanego konta w domyślnych konfiguracjach MyBB. Pierwsza luka (Nested Auto URL Trwały XSS - CVE-2021-27889) dotyczy problemu w procesie renderowania MyBB, który umożliwia każdemu nieuprzywilejowanemu użytkownikowi forum MyBB osadzanie ładunków przechowywanych XSS w wątkach, postach, a nawet prywatnych wiadomościach .
Drugą luką w zabezpieczeniach (wstrzyknięcie SQL właściwości motywu - CVE-2021-27890) jest iniekcja SQL, która doprowadziła do RCE i może zostać wywołana przez dowolnego użytkownika z aktywną sesją w panelu administracyjnym forum MyBB.
Witaj gościu. Dziękujemy, że przeglądasz nasze forum ale czy wiesz, że zakładając konto możesz w pełni korzystać z dobrodziejstw jakimi są promocje i konkursy. Nie zobaczysz tu też żadnych reklam a rejestracja zajmie Ci tylko chwilę.
Ta strona wykorzystuje ciasteczka (cookies) w celu: utrzymania sesji zalogowanego Użytkownika, gromadzenia informacji związanych z korzystaniem z serwisu, ułatwienia Użytkownikom korzystania z niego, dopasowania treści wyświetlanych Użytkownikowi oraz tworzenia statystyk oglądalności czy efektywności publikowanych reklam.Użytkownik ma możliwość skonfigurowania ustawień cookies za pomocą ustawień swojej przeglądarki internetowej. Użytkownik wyraża zgodę na używanie i wykorzystywanie cookies oraz ma możliwość wyłączenia cookies za pomocą ustawień swojej przeglądarki internetowej.
