Описание
Уязвимость модуля управления настройками Admin CP программного средства создания форумов MyBB связана с неверным управлением генерацией кода при обработке шаблонов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
Вендор
Сообщество свободного программного обеспечения
Наименование ПО
MyBB
Версия ПО
до 1.8.36 (MyBB)
Тип ПО
Сетевое средство
Операционные системы и аппаратные платформы
-
Уровень опасности уязвимости
Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,2)
Возможные меры по устранению уязвимости
Использование рекомендаций:
https://github.com/mybb/mybb/commit/a43a6f22944e769a6eabc58c39e7bc18c1cab4ca.patch
https://github.com/mybb/mybb/security/advisories/GHSA-pr74-wvp3-q6f5
https://mybb.com/versions/1.8.36/
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Существует в открытом доступе
Информация об устранении
Уязвимость устранена
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 96%
0.22031
Средний
7.2 High
CVSS3
9 Critical
CVSS2
Связанные уязвимости
CVSS3: 7.2
nvd
больше 2 лет назад
MyBB before 1.8.36 allows Code Injection by users with certain high privileges. Templates in Admin CP intentionally use eval, and there was some validation of the input to eval, but type juggling interfered with this when using PCRE within PHP.
EPSS
Процентиль: 96%
0.22031
Средний
7.2 High
CVSS3
9 Critical
CVSS2