Бесплатно Экспресс-аудит сайта:

20.03.2021

В популярном web-форуме MyBB обнаружены критические уязвимости

В популярном бесплатном web-форуме MyBB обнаружен ряд уязвимостей , совокупная эксплуатация которых может позволить злоумышленникам удаленно выполнить произвольный код без необходимости получать доступ к привилегированной учетной записи.

Уязвимости были обнаружены независимыми исследователями безопасности Саймоном Сканнеллом (Simon Scannell) и Карлом Смитом (Carl Smith), которые сообщили о них команде поддержки MyBB 22 февраля нынешнего года. 10 марта с выходом версии MyBB 1.8.26 уязвимости были исправлены.

MyBB (более ранние названия MyBBoard и MyBulletinBoard) представляет собой бесплатное форумное ПО с открытым исходным кодом, написанное на PHP.

Согласно исследователям, первая проблема - XSS-уязвимость (CVE-2021-27889), возникающая из-за того, как MyBB проводит синтаксический анализ сообщений, содержащих URL-адреса, в процессе рендеринга. С ее помощью любой непривилегированный пользователь форума может внедрять полезную нагрузку в обсуждения, публикации и даже в личные сообщения.

Уязвимость можно проэксплуатировать при минимальном взаимодействии с пользователем путем сохранения на сервере вредоносного сообщения MyCode (например, в виде публикации или личного сообщения) и указания жертве на страницу, где анализируется контент.

Вторая уязвимость (CVE-2021-27890) затрагивает менеджер тем форума и позволяет осуществлять SQL-инъекции, что в итоге может привести к удаленному выполнению кода. Эксплуатация уязвимости происходит, когда администратор форума с разрешением "Можно ли управлять темами?" импортирует вредоносную тему, или пользователь, для которого была установлена тема, посетит страницу форума.

Помимо двух вышеупомянутых уязвимостей релиз 1.8.26 также исправляет следующие уязвимости:

  • CVE-2021-27946 - некорректное подтверждение подлинности количества голосов в опросах, которое может привести к SQL-инъекции;
  • CVE-2021-27947 - некорректная проверка определенных данных форума, способная привести к SQL-инъекции;
  • CVE-2021-27948 - дополнительные идентификационные номера групп пользователей можно сохранять на панели администрирования без надлежащей проверки подлинности, что может привести к SQL-инъекции;

CVE-2021-27949 - отраженная XSS-уязвимость в кастомизированных инструментах модерирования, возникающая из-за недостаточной проверки вводимых пользователем данных, прикрепленных к POST-запросам, защищенным от CSRF-атак с помощью токенов.