A MyBB SQL befecskendezési és az oldalakon keresztüli kéresék meghamisításos sérülékenysége

2008. január 20. 23:00

CH azonosító

CH-935

Felfedezés dátuma

2008.01.20.

Súlyosság

Közepes

Érintett rendszerek

MyBB
MyBB Group

Érintett verziók

MyBB Group MyBB 1.x

Összefoglaló

Néhány sérülékenységet jelentettek a MyBB-ben, amelyet kihasználva rosszindulatú támadók SQL befecskendezéses vagy cross-site kérések meghamisításán alapuló támadást hajthatnak végre.

Leírás

Az inc/datahandlers/pm.php-nek átadott bizonyos ismeretlen paraméter nincs megfelelően megtisztítva mielőtt az az SQL lekérdezésekhez lenne használva.
Ezt kihasználva az SQL lekérdezéseket tetszőleges kód befecskendezésével lehet módosítani.
Az alkalmazás lehetővé teszi, hogy a felhasználók bizonyos lépéseket végrehajtásanak HTTP kéréseken keresztül érvényességi felülvizsgálat nélkül. Ez kihasználható például a fórum témák törlésére a moderátor egy rosszindulatú oldalra csalásával.

A sérülékenységeket az 1.2.11-es és ezt megelőző veriókban jelentették.

Legfrissebb sérülékenységek

CVE-2024-53104 – Linux Kernel sérülékenysége

CVE-2025-26630 – Microsoft Access RCE sebezhetősége

CVE-2025-30154 – reviewdog/action-setup GitHub Action Embedded Malicious Code sebezhetősége

CVE-2025-30066 – tj-actions/changed-files GitHub Action Embedded Malicious Code sebezhetősége

CVE-2025-24472 – Fortinet FortiOS and FortiProxy Authentication Bypass sebezhetősége

CVE-2017-12637 – SAP NetWeaver Directory Traversal sebezhetősége

CVE-2024-48248 – NAKIVO Backup and Replication Absolute Path Traversal sebezhetősége

CVE-2025-1316 – Edimax IC-7100 IP Camera OS Command Injection sebezhetősége

CVE-2019-9875 – Sitecore CMS and Experience Platform (XP) Deserialization sebezhetősége

CVE-2019-9874 – Sitecore CMS and Experience Platform (XP) Deserialization sebezhetősége

Tovább a sérülékenységekhez »

A MyBB SQL befecskendezési és az oldalakon keresztüli kéresék meghamisításos sérülékenysége