ZIŅU

Bezmaksas dzinējā, lai izveidotu tīmekļa forumus, MyBB, ir identificētas vairākas ievainojamības, kas kopā ļauj organizēt PHP koda izpildi serverī. Problēmas parādās izlaidumos no 1.8.16 līdz 1.8.25 un tiek fiksētas MyBB 1.8.26 atjauninājumā.

Pirmā ievainojamība (CVE-2021-27889) ļauj neaizsargātam foruma dalībniekam iegult JavaScript kodu ziņās, diskusijās un privātajos ziņojumos. Forums ļauj jums pievienot attēlus, sarakstus un multivides datus, izmantojot īpašus tagus, kas tiek pārveidoti par HTML iezīmēšanu. Sakarā ar kļūdu līdzīgu tagu reklāmguvumu kodā, dubultā URL konstrukcija


[img]http://xyzsomething.com/image?)http://x.com/onerror=alert (1);//[/img] ir
pārvērsts par

<img src="http://xyzsomething.com/image?)<a href=" http:="" x.com=""
onerror="alert(1);//"" target="_blank" rel= "noopener" class= "mycode_url">
Otrā ievainojamība (CVE-2021-27890) ļauj veikt SQL komandu aizstāšanu un sasniegt jūsu koda izpildi. Problēma rodas sakarā ar $theme['templateset'] aizstāšanu ar SQL vaicājuma ķermeni, pareizi neiztīrot un izpildot $ {komponentus...} izmantojot eval zvanu. Piemēram, jūs varat palaist PHP komandu passthru ("ls"), apstrādājot tēmu ar tādu konstrukciju kā:


<templateset>') un 1=0 UNION SELECT title, ' ${passthru (\'ls\')} ' no mybb_templates -- < / templateset>
Lai izmantotu otro ievainojamību, jums jāizmanto sesija ar foruma administratora tiesībām. Lai iegūtu iespēju nosūtīt pieprasījumu ar administratora tiesībām, uzbrucējs var izmantot pirmo ievainojamību un nosūtīt administratoram privātu ziņojumu ar JavaScript kodu, skatot, kura otrā ievainojamība tiks izmantota.