The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Удалённо эксплуатируемая уязвимость в форумном движке MyBB

18.03.2021 22:25

В свободном движке для создания web-форумов MyBB выявлено несколько уязвимостей, которые в сочетании позволяют организовать выполнение PHP-кода на сервере. Проблемы проявляются в выпусках с 1.8.16 по 1.8.25 и устранены в обновлении MyBB 1.8.26.

Первая уязвимость (CVE-2021-27889) позволяет непривилегированному участнику форума встроить JavaScript-код в публикации, обсуждения и приватные сообщения. Форум допускает добавление изображений, списков и мультимедийных данных через специальные теги, которые преобразуются в HTML-разметку. Из-за ошибки в коде преобразования подобных тегов, конструкция с двойным URL


   [img]http://xyzsomething.com/image?)http://x.com/onerror=alert(1);//[/img]
преобразуется в

   <img src="http://xyzsomething.com/image?)<a href=" http:="" x.com="" 
 onerror="alert(1);//&quot;" target="_blank" rel="noopener" class="mycode_url">

Вторая уязвимость (CVE-2021-27890) даёт возможность осуществить подстановку SQL-команд и добиться выполнения своего кода. Проблема возникает из-за подстановки $theme['templateset'] в тело SQL-запроса без должной чистки и выполнении компонентов ${...} через вызов eval. Например, можно организовать запуск PHP-команды passthru('ls') при обработке темы оформления с конструкцией вида:


   <templateset>') AND 1=0 UNION SELECT title, '${passthru(\'ls\')}' from mybb_templates -- </templateset>

Для эксплуатации второй уязвимости необходимо использование сеанса с правами администратора форума. Для получения возможность отправки запроса с правами администратора атакующий может воспользоваться первой уязвимостью и отправить администратору приватное сообщение с JavaScript-кодом, при просмотре которого будет эксплуатирована вторая уязвимость.

  1. Главная ссылка к новости (https://blog.sonarsource.com/m...)
  2. OpenNews: Уязвимости в MyBB, позволяющие загрузить PHP-код на сервер
  3. OpenNews: В поставке открытого форума MyBB обнаружен вредоносный код
  4. OpenNews: Инфраструктура свободного проекта phpBB подверглась взлому
  5. OpenNews: Уязвимость в движке для создания форумов phpBB
  6. OpenNews: Неисправленная критическая уязвимость в движке для создания web-форумов vBulletin
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/54782-mybb
Ключевые слова: mybb
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (26) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 22:35, 18/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +22 +/
    Господи, оно ещё живое
     
     
  • 2.18, leibniz (ok), 04:24, 19/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Господи, оно ещё живое

    да уж поживее некоторых, вы бы хоть следили за опенсорсом, а не писали дичь на форуме

     
     
  • 3.23, Аноним (-), 06:51, 19/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    куда уж ему до той дичи, что обычно тут несешь ты
     

  • 1.2, Аноним (2), 22:35, 18/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    чота-как-та прям сириоус бузинес. В смысле, толку от тех уязвимостей около нуля.

    P.S. дайте угадаю - оно на вид ужасно чуть более чем полностью? Странно что у них нет даже демо-версии.

     
     
  • 2.4, Аноним (4), 22:50, 18/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    слово коммунити в шапке, не?
     

  • 1.3, Аноним (3), 22:41, 18/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +20 +/
    Спасибо, что вернули мой 2007-й. Сразу нахлынула ностальгия, как переименовывали похапе-файл в жпг, заливали на форум, проходили по прямой ссылке к картинке и лицезрели вывод скрипта. Обычно этим похапе-файлом был благословенный rst shell (r57 shell), можно было скачивать дамп базы форума и так далее.

    ____________
    Описываемые события и персонажи вымышленные. Все совпадения случайны.

     
     
  • 2.8, Sw00p aka Jerom (?), 00:02, 19/03/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    античат бы еще вспомнил :))
     
     
  • 3.11, Онаним (?), 00:35, 19/03/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Ох ты, да тут саксаулы, то есть аксакалы - не перевелись.
    Крепкого коннекта, быстрого пинга. (c)
     
  • 3.13, Аноним (13), 01:44, 19/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Им тоже залили походу. Во всяком случае дамп этих ламеров где-то болтался.
     
     
  • 4.15, Sw00p aka Jerom (?), 01:48, 19/03/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    у них же булка патченная кажись? В свое время квестом было ломануть их форум :) потом видосы выкладывали. Хотя во времена Алгола было иначе.
     
  • 3.16, th3m3 (ok), 04:16, 19/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    БХоЦэ туда же)
     
     
  • 4.21, Ivanov (??), 05:50, 19/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Все релизы BHC - у меня на диске Цэ!
     
  • 2.19, leibniz (ok), 04:25, 19/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Все совпадения случайны

    я не верю в совпадения

     
     
  • 3.25, Qwerty (??), 08:51, 19/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Держите в курсе.
     

  • 1.5, Аноним (5), 23:10, 18/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    И тут уязвимость даже нашли вообщем будущее хакеров наступило
     
  • 1.7, Аноним (7), 23:33, 18/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Это фрактал облажался со своей безопасной работой с памятью.

    В php у него тоже безопасная работа с памятью.

     
  • 1.10, Онаним (?), 00:33, 19/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    eval
    Закопать.
     
     
  • 2.14, Аноним (-), 01:46, 19/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да в принципе и http://x.com/onerror=alert(1) - ничего так. Хана вашим кукисам.
     
  • 2.20, leibniz (ok), 04:27, 19/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Закопать

    твои HelloWorldы на GitHub

     
     
  • 3.28, Онаним (?), 17:03, 19/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Меня нет на гитхабе.
    И не будет.
    Потому что.
     

  • 1.24, Аноним (24), 07:34, 19/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Я вот сижу на одном полудохлом форуме года, эдак 2008-2009. Надо бы попробовать его хакнуть, чтобы оживить местную аудиторию.
     
     
  • 2.27, Аноним (27), 13:44, 19/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    ru-boarb? ixbt?
     
     
  • 3.29, Аноним (29), 13:55, 20/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Cyberforum
     

  • 1.26, Аноним (26), 11:02, 19/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    На то они и форумы. Чтобы эксплуатировать. И особенно удаленно.
    Тем более Мубэбэ.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    A-Real
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру