发布时间:2021-03-22 20:37:50,来源:北京奇虎科技有限公司
近日,监测发现MyBB团队发布MyBB存储型XSS漏洞(CVE-2021-27889)和SQL注入漏洞(CVE-2021-27890)的风险通告。攻击者首先利用存储型XSS漏洞获取到管理员的口令,然后修改MyBB的主题模板,往templateset中插入恶意代码,然后利用SQL注入漏洞毒害模板缓存进而造成远程代码执行漏洞。建议受影响用户及时升级至最新版本进行防护,做好资产自查以及预防工作,以免遭受黑客攻击。
二、 漏洞描述
MyBB(MyBulletinBoard)是MyBB(MYBB)团队的开发的一套用PHP和MySQL开发的免费且基于Web的论坛软件。
1)MyBB存储型XSS漏洞(CVE-2021-27889)
该漏洞由于MyBB对用户发帖时输入的数据未能充分过滤,导致攻击者可以向其插入恶意js代码,从而获取管理员口令,执行恶意操作。
2)MyBB SQL注入漏洞(CVE-2021-27890)
该漏洞由于MyBB在读取模板属性templateset时会进行SQL查询操作,而templateset并未做任何预处理操作,因此导致攻击者通过SQL注入漏洞来实现远程代码执行。
三、 影响范围
MyBB 1.8.16 - 1.8.25
四、 安全建议
目前MyBB官方已发布新版本修复该漏洞。
下载链接:https://mybb.com/download/
五、 参考链接
1. https://blog.sonarsource.com/mybb-remote-code-execution-chain
2. https://github.com/mybb/mybb/security/advisories/GHSA-xhj7-3349-mqcm
3. https://github.com/mybb/mybb/security/advisories/GHSA-r34m-ccm8-mfhq