Érintett rendszerek
Advanced Stats on Index/PortalMyBB Group
Érintett verziók
Advanced Stats on Index/Portal 3.x (MyBB plugin)
Összefoglaló
A MyBB Advanced Stats on Index/Portal bővítményének olyan sérülékenysége vált ismertté, amelyet kihasználva rosszindulatú felhasználók script beszúrás támadásokat kezdeményezhetnek.
Leírás
A “subject” paraméteren keresztül a newthread.php-nak átadott bemenet (amikor a “fid” be van állítva van), nincs megfelelően ellenőrizve mielőtt az asoi.php-vel megjelenítenék a felhasználó részére.
Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében az érintett oldallal kapcsolatosan, a káros adat megtekintésekor.
A sérülékenységet a 3.1-es verzióban fedezték fel. Más verziók is érintettek lehetnek.
