CH azonosító
CH-4453Angol cím
MyBB Recent Topics on Index page Plugin "subject" Script Insertion VulnerabilityFelfedezés dátuma
2011.02.25.Súlyosság
AlacsonyÉrintett rendszerek
MyBB GroupRecent Topics on Index page plugin
Érintett verziók
Recent Topics on Index page 1.x (MyBB bővítmény)
Összefoglaló
A MyBB Recent Topics on Index page bővítményének olyan sérülékenységét jelentették, amelyet rosszindulatú felhasználók kihasználhatnak script beszúrásos (script injection) támadásokra.
Leírás
A newthread.php “subject” paraméterének átadott bemeneti adat nincs megfelelően ellenőrizve az inc/plugins/recenttopicsindex.php-ban, mielőtt az a felhasználónál megjelenítenésre kerülne (ha az “action” “do_newthread” értékre van beállítva). Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében, az érintett oldallal kapcsolatosan, amikor megtekinti a rosszindulatú folyamatot.
A sérülékenységet az 1.0 verzióban igazolták. Más verziók is érintettek lehetnek.