点击蓝字
关注我们
漏
洞
预
警
一、基本情况
|
近日,监测发现MyBB团队发布MyBB存储型XSS漏洞(CVE-2021-27889)和SQL注入漏洞(CVE-2021-27890)的风险通告。攻击者首先利用存储型XSS漏洞获取到管理员的口令,然后修改MyBB的主题模板,往templateset中插入恶意代码,然后利用SQL注入漏洞毒害模板缓存进而造成远程代码执行漏洞。建议受影响用户及时升级至最新版本进行防护,做好资产自查以及预防工作,以免遭受黑客攻击。 |
二、漏洞描述
|
MyBB(MyBulletinBoard)是MyBB(MYBB)团队的开发的一套用PHP和MySQL开发的免费且基于Web的论坛软件。 1)MyBB存储型XSS漏洞(CVE-2021-27889) 该漏洞由于MyBB对用户发帖时输入的数据未能充分过滤,导致攻击者可以向其插入恶意js代码,从而获取管理员口令,执行恶意操作。 2)MyBB SQL注入漏洞(CVE-2021-27890) 该漏洞由于MyBB在读取模板属性templateset时会进行SQL查询操作,而templateset并未做任何预处理操作,因此导致攻击者通过SQL注入漏洞来实现远程代码执行。 |
三、影响范围
|
四、安全建议
|
目前MyBB官方已发布新版本修复该漏洞。 下载链接:https://mybb.com/download/ |
五、参考链接
|
1. https://blog.sonarsource.com/mybb-remote-code-execution-chain 2. https://github.com/mybb/mybb/security/advisories/GHSA-xhj7-3349-mqcm 3. https://github.com/mybb/mybb/security/advisories/GHSA-r34m-ccm8-mfhq |
支持单位:
北京奇虎科技有限公司
长按二维码 |关注我们
我知道你在看哟
原文始发于微信公众号(网络安全威胁和漏洞信息共享平台):MyBB多个漏洞导致远程代码执行
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论