CH azonosító
CH-4453Angol cím
MyBB Recent Topics on Index page Plugin "subject" Script Insertion VulnerabilityFelfedezés dátuma
2011.02.25.Súlyosság
AlacsonyÉrintett rendszerek
MyBB GroupRecent Topics on Index page plugin
Érintett verziók
Recent Topics on Index page 1.x (MyBB bővítmény)
Összefoglaló
A MyBB Recent Topics on Index page bővítményének olyan sérülékenységét jelentették, amelyet rosszindulatú felhasználók kihasználhatnak script beszúrásos (script injection) támadásokra.
Leírás
A newthread.php “subject” paraméterének átadott bemeneti adat nincs megfelelően ellenőrizve az inc/plugins/recenttopicsindex.php-ban, mielőtt az a felhasználónál megjelenítenésre kerülne (ha az “action” “do_newthread” értékre van beállítva). Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében, az érintett oldallal kapcsolatosan, amikor megtekinti a rosszindulatú folyamatot.
A sérülékenységet az 1.0 verzióban igazolták. Más verziók is érintettek lehetnek.
Megoldás
Javítsa a forráskódot a bemenet megfelelő ellenőrzése érdekébenTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)