Une paire de vulnérabilités critiques dans un logiciel de tableau d’affichage populaire appelé MyBB aurait pu être enchaînée pour réaliser l’exécution de code à distance (RCE) sans avoir besoin d’un accès préalable à un compte privilégié.

Les failles, qui ont été découvertes par les chercheurs indépendants en sécurité Simon Scannell et Carl Smith, ont été signalées à l’équipe MyBB le 22 février, après quoi il publié une mise à jour (version 1.8.26) le 10 mars corrigeant les problèmes.

MyBB, anciennement MyBBoard et à l’origine MyBulletinBoard, est un logiciel de forum gratuit et open-source développé en utilisant PHP et MySQL.

Selon les chercheurs, le premier problème – une vulnérabilité XSS persistante d’URL automatique imbriquée (CVE-2021-27889) – découle de la façon dont MyBB analyse les messages contenant des URL pendant le processus de rendu, permettant ainsi à tout utilisateur de forum non privilégié d’intégrer des charges XSS stockées dans des threads. , des messages et même des messages privés.

“La vulnérabilité peut être exploitée avec une interaction minimale de l’utilisateur en enregistrant un message MyCode conçu de manière malveillante sur le serveur (par exemple sous forme de publication ou de message privé) et en pointant une victime vers une page où le contenu est analysé,” MyBB mentionné dans un avis.

La deuxième vulnérabilité concerne une injection SQL (CVE-2021-27890) dans le gestionnaire de thèmes d’un forum qui pourrait aboutir à un RCE authentifié. Une exploitation réussie se produit lorsqu’un administrateur de forum avec l’option “Peut gérer les thèmes?” permission importe un thème conçu de manière malveillante, ou un utilisateur, pour lequel le thème a été défini, visite une page de forum.

«Un attaquant sophistiqué pourrait développer un exploit pour la vulnérabilité Stored XSS, puis envoyer un message privé à un administrateur ciblé d’un tableau MyBB», les chercheurs esquissé dans une rédaction technique. “Dès que l’administrateur ouvre le message privé, sur son propre forum de confiance, l’exploit se déclenche. Une vulnérabilité RCE est automatiquement exploitée en arrière-plan et conduit à une prise de contrôle complète du forum MyBB ciblé.”

Outre les deux vulnérabilités susmentionnées, la version 1.8.26 résout également quatre autres lacunes de sécurité identifiées par l’équipe MyBB, notamment –

  • CVE-2021-27946 – Mauvaise validation du nombre de votes dans les options de sondage des threads, conduisant à une injection SQL
  • CVE-2021-27947 – Nettoyage incorrect de certaines données du forum, provoquant une injection SQL lors des requêtes ultérieures
  • CVE-2021-27948 – Des numéros d’identification de groupes d’utilisateurs supplémentaires peuvent être enregistrés sans validation appropriée dans le panneau de configuration de l’administrateur, ce qui entraîne une injection SQL, et
  • CVE-2021-27949 – Une vulnérabilité XSS reflétée dans les outils de modérateur personnalisés, lorsque l’entrée utilisateur associée aux demandes POST protégées par jeton CSRF n’est pas correctement nettoyée

Il est conseillé aux utilisateurs de MyBB de passer au dernière version pour atténuer le risque associé aux défauts.



Leave a Reply