受影响系统:
MyBB MyBB 1.x
描述:
BUGTRAQ ID: 50816
MyBB是一款流行的Web论坛程序。
MyBB在实现上存在跨站脚本执行、跨站请求伪造和其他多个安全漏洞,攻击者可利用这些漏洞在受影响站点用户浏览器中执行任意脚本,窃取cookie验证凭证,泄露或修改敏感信息或这些非法操作。
1)好友列表中的未解析头像中存在错误;
2)通过用户名传递的输入在返回给用户之前没有正确过滤,导致在受影响站点的用户浏览器中执行任意HTML和脚本代码;
3)应用允许用户通过HTTP请求执行某些操作,但不验证这些请求。可在用户浏览特制的网页时更改语言设置。
<*来源:labrocca
Will G
Nathan Malcolm
链接:http://dev.mybb.com/issues/1729
*>
建议:
厂商补丁:
MyBB
—-
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
0 条评论。