Atofighi

**Nome do software vulnerável e versões afetadas** Versões do MyBB anteriores à 1.8.4 **Descrição** A vulnerabilidade permite que usuários remotos autenticados injetem scripts web ou HTML arbitrários. Isso pode ser feito por meio do parâmetro `title` na ação de edição ou adição no módulo user-users, na ação finduser, ou do parâmetro `name` em uma ação de edição no módulo user-user, ou ainda na ação editprofile do arquivo modcp.php. **Recomendações** Para versões anteriores à 1.8.4, atualize para a versão 1.8.4 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao módulo user-users e ao modcp.php para minimizar o risco de exploração. Evite usar os parâmetros `title` e `name` nas ações afetadas até que o problema seja resolvido.

**Name of the Vulnerable Software and Affected Versions** MyBB versions prior to 1.8.4 **Description** The cache handler in MyBB does not properly check the encoding of input to the `var export` function, allowing attackers to have an unspecified impact via unknown vectors. **Recommendations** For versions prior to 1.8.4, update to version 1.8.4 or later to resolve the issue.

**Name of the Vulnerable Software and Affected Versions** MyBB versions prior to 1.8.4 **Description** A cross-site request forgery (CSRF) issue exists in the Admin Control Panel (ACP) login, allowing remote attackers to hijack the authentication of victims. **Recommendations** For versions prior to 1.8.4, update to version 1.8.4 or later to resolve the issue.

**Name of the Vulnerable Software and Affected Versions** MyBB versions prior to 1.8.4 **Description** A JSON library in MyBB allows remote attackers to obtain the installation path via unknown vectors. **Recommendations** For versions prior to 1.8.4, update to version 1.8.4 or later to resolve the issue.