Удалённо эксплуатируемая уязвимость в форумном движке MyBB

18.03.2021 22:25

В свободном движке для создания web-форумов MyBB выявлено несколько уязвимостей, которые в сочетании позволяют организовать выполнение PHP-кода на сервере. Проблемы проявляются в выпусках с 1.8.16 по 1.8.25 и устранены в обновлении MyBB 1.8.26.

Первая уязвимость (CVE-2021-27889) позволяет непривилегированному участнику форума встроить JavaScript-код в публикации, обсуждения и приватные сообщения. Форум допускает добавление изображений, списков и мультимедийных данных через специальные теги, которые преобразуются в HTML-разметку. Из-за ошибки в коде преобразования подобных тегов, конструкция с двойным URL


   [img]http://xyzsomething.com/image?)http://x.com/onerror=alert(1);//[/img]

преобразуется в


   <img src="http://xyzsomething.com/image?)<a href=" http:="" x.com="" 
 onerror="alert(1);//&quot;" target="_blank" rel="noopener" class="mycode_url">

Вторая уязвимость (CVE-2021-27890) даёт возможность осуществить подстановку SQL-команд и добиться выполнения своего кода. Проблема возникает из-за подстановки $theme['templateset'] в тело SQL-запроса без должной чистки и выполнении компонентов ${...} через вызов eval. Например, можно организовать запуск PHP-команды passthru('ls') при обработке темы оформления с конструкцией вида:


   <templateset>') AND 1=0 UNION SELECT title, '${passthru(\'ls\')}' from mybb_templates -- </templateset>

Для эксплуатации второй уязвимости необходимо использование сеанса с правами администратора форума. Для получения возможность отправки запроса с правами администратора атакующий может воспользоваться первой уязвимостью и отправить администратору приватное сообщение с JavaScript-кодом, при просмотре которого будет эксплуатирована вторая уязвимость.

исправить +10 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/54782-mybb

Ключевые слова: mybb

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (24)

1.1, Аноним (1), 22:35, 18/03/2021 [ответить] [﹢﹢﹢] [ · · · ]	+22 +/–
Господи, оно ещё живое

2.18, leibniz (ok), 04:24, 19/03/2021 [^] [^^] [^^^] [ответить]	+/–
> Господи, оно ещё живое да уж поживее некоторых, вы бы хоть следили за опенсорсом, а не писали дичь на форуме

3.23, Аноним (-), 06:51, 19/03/2021 [^] [^^] [^^^] [ответить]	+1 +/–
куда уж ему до той дичи, что обычно тут несешь ты

1.2, Аноним (2), 22:35, 18/03/2021 [ответить] [﹢﹢﹢] [ · · · ]

–1 +/–

чота-как-та прям сириоус бузинес. В смысле, толку от тех уязвимостей около нуля.

P.S. дайте угадаю - оно на вид ужасно чуть более чем полностью? Странно что у них нет даже демо-версии.

2.4, Аноним (4), 22:50, 18/03/2021 [^] [^^] [^^^] [ответить]	+1 +/–
слово коммунити в шапке, не?

1.3, Аноним (3), 22:41, 18/03/2021 [ответить] [﹢﹢﹢] [ · · · ]	+20 +/–
Спасибо, что вернули мой 2007-й. Сразу нахлынула ностальгия, как переименовывали похапе-файл в жпг, заливали на форум, проходили по прямой ссылке к картинке и лицезрели вывод скрипта. Обычно этим похапе-файлом был благословенный rst shell (r57 shell), можно было скачивать дамп базы форума и так далее. ____________ Описываемые события и персонажи вымышленные. Все совпадения случайны.

2.8, Sw00p aka Jerom (?), 00:02, 19/03/2021 [^] [^^] [^^^] [ответить]	+2 +/–
античат бы еще вспомнил :))

3.11, Онаним (?), 00:35, 19/03/2021 [^] [^^] [^^^] [ответить]	+3 +/–
Ох ты, да тут саксаулы, то есть аксакалы - не перевелись. Крепкого коннекта, быстрого пинга. (c)

3.13, Аноним (13), 01:44, 19/03/2021 [^] [^^] [^^^] [ответить]	+1 +/–
Им тоже залили походу. Во всяком случае дамп этих ламеров где-то болтался.

4.15, Sw00p aka Jerom (?), 01:48, 19/03/2021 [^] [^^] [^^^] [ответить]	–1 +/–
у них же булка патченная кажись? В свое время квестом было ломануть их форум :) потом видосы выкладывали. Хотя во времена Алгола было иначе.

3.16, th3m3 (ok), 04:16, 19/03/2021 [^] [^^] [^^^] [ответить]	+/–
БХоЦэ туда же)

4.21, Ivanov (??), 05:50, 19/03/2021 [^] [^^] [^^^] [ответить]	+/–
Все релизы BHC - у меня на диске Цэ!

2.19, leibniz (ok), 04:25, 19/03/2021 [^] [^^] [^^^] [ответить]	+/–
> Все совпадения случайны я не верю в совпадения

3.25, Qwerty (??), 08:51, 19/03/2021 [^] [^^] [^^^] [ответить]	+/–
Держите в курсе.

1.5, Аноним (5), 23:10, 18/03/2021 [ответить] [﹢﹢﹢] [ · · · ]	+/–
И тут уязвимость даже нашли вообщем будущее хакеров наступило

1.7, Аноним (7), 23:33, 18/03/2021 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Это фрактал облажался со своей безопасной работой с памятью. В php у него тоже безопасная работа с памятью.

1.10, Онаним (?), 00:33, 19/03/2021 [ответить] [﹢﹢﹢] [ · · · ]	+/–
eval Закопать.

2.14, Аноним (-), 01:46, 19/03/2021 [^] [^^] [^^^] [ответить]	+1 +/–
Да в принципе и http://x.com/onerror=alert(1) - ничего так. Хана вашим кукисам.

2.20, leibniz (ok), 04:27, 19/03/2021 [^] [^^] [^^^] [ответить]	+/–
> Закопать твои HelloWorldы на GitHub

3.28, Онаним (?), 17:03, 19/03/2021 [^] [^^] [^^^] [ответить]	+/–
Меня нет на гитхабе. И не будет. Потому что.

1.24, Аноним (24), 07:34, 19/03/2021 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Я вот сижу на одном полудохлом форуме года, эдак 2008-2009. Надо бы попробовать его хакнуть, чтобы оживить местную аудиторию.

2.27, Аноним (27), 13:44, 19/03/2021 [^] [^^] [^^^] [ответить]	+/–
ru-boarb? ixbt?

3.29, Аноним (29), 13:55, 20/03/2021 [^] [^^] [^^^] [ответить]	+/–
Cyberforum

1.26, Аноним (26), 11:02, 19/03/2021 [ответить] [﹢﹢﹢] [ · · · ]	–2 +/–
На то они и форумы. Чтобы эксплуатировать. И особенно удаленно. Тем более Мубэбэ.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: