MyBB论坛软件中报告的关键RCE缺陷

一款名为MyBB的流行公告板软件中的两个关键漏洞可能被链接在一起，以实现远程代码执行（RCE），而无需事先访问特权帐户。

独立安全研究人员西蒙·斯坎内尔（Simon Scannell）和卡尔·史密斯（Carl Smith）发现了这些漏洞，并于2月22日向MyBB团队报告，随后于3月10日发布了一个更新版本（版本1.8.26），以解决这些问题。

MyBB原名MyBBoard，原名MyBulletinBoard，是使用PHP和MySQL开发的免费开源论坛软件。根据互联网资产搜索引擎Spyse的数据，至少有2100个潜在易受攻击的域名安装了MyBB。

研究人员称，第一期—；嵌套的自动URL持久XSS漏洞（CVE-2021-27889）和#8212；源于MyBB如何在呈现过程中解析包含URL的消息，从而使任何未经授权的论坛用户能够将存储的XSS有效负载嵌入到线程、帖子甚至私人消息中。

MyBB在一份建议中说：“通过在服务器上保存恶意编制的MyCode消息（例如，作为帖子或私人消息），并将受害者指向解析内容的页面，可以在用户交互最少的情况下利用该漏洞。”。

第二个漏洞与论坛主题管理器中的SQL注入（CVE-2021-27890）有关，该漏洞可能导致经过身份验证的RCE。当论坛管理员使用“可以管理主题吗？”时，就会成功利用此漏洞权限导入恶意创建的主题，或为其设置主题的用户访问论坛页面。

“一个老练的攻击者可以利用存储的XSS漏洞进行攻击，然后向MyBB董事会的目标管理员发送私人消息，”研究人员在一份技术报告中概述。“一旦管理员在自己的受信任论坛上打开私人消息，就会触发攻击。RCE漏洞会在后台自动被攻击，并导致目标MyBB论坛被完全接管。”

除了上述两个漏洞外，版本1.8.26还解决了MyBB团队发现的其他四个安全缺陷，包括—；

• CVE-2021-27946-线程轮询选项中的投票数验证不当，导致SQL注入
• CVE-2021-27947-对某些论坛数据的不正确清理，导致在后续查询中使用SQL注入
• CVE-2021-27948-无需在管理控制面板中进行适当验证即可保存其他用户组ID号，从而导致SQL注入，以及
• CVE-2021-27949-当附加到CSRF令牌保护的POST请求的用户输入未正确清理时，自定义调节器工具中反映出XSS漏洞

建议MyBB用户升级至最新版本，以降低与缺陷相关的风险。