CH azonosító
CH-10271Angol cím
MyBB Cross-Site Scripting and SQL Injection VulnerabilitiesFelfedezés dátuma
2013.12.31.Súlyosság
AlacsonyÖsszefoglaló
A MyBB többszörös sérülékenységét jelentették, melyeket kihasználva a rosszindulatú támadók SQL-befecskendezéses és cross-site scripting (CSS) támadást idézhetnek elő.
Leírás
1) Bizonyos, a hangulatjelek szerkesztésével kapcsolatos beviteli mezők az SQL lekérdezés előtt nincsnek megfelelően ellenőrizve, ezt kihasználva tetszőleges SQL kód futtatható.
2)Hozzászólások Akismettel ACP-ben való törlésének bizonyos inputjai az SQL lekérdezés előtt nincsnek megfelelően ellenőrizve, ezt kihasználva tetszőleges SQL kód futtatható.
3) Bizonyos a video MyCode-dal kapcsolatos beviteli mezők a felhasználóhoz való visszatérés előtt nincsnek megfelelően ellenőrizve, melyet kihasználva a felhasználó böngészőjének munkamenetében tetszőleges HTML and script kód futtatható.
4) Bizonyos hangulatjeleket tartalmazó felugró ablakkal kapcsolatos beviteli mezők a felhasználóhoz való visszatérés előtt nincsnek megfelelően ellenőrizve, melyet kihasználva a felhasználó böngészőjének munkamenetében tetszőleges HTML and script kód futtatható.
A sérülékenységeket a 1.6.12 előtti verziókból jelentették.
Megoldás
Frissítsen a legújabb verzióraMegoldás
Frissítsen a 1.6.12. verzióra.
Támadás típusa
Cross Site Scripting (XSS/CSS)Information disclosure (Információ/adat szivárgás)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 55945
Gyártói referencia: blog.mybb.com