Dvz

**Nome do Software Vulnerável e Versões Afetadas** Versões do MyBB anteriores à 1.8.39 **Descrição** O componente de pesquisa do MyBB não valida as permissões corretamente, permitindo que atacantes determinem a existência de tópicos ocultos, incluindo rascunhos, não aprovados ou excluídos logicamente, ao analisar os resultados da pesquisa. A coluna `mybb threads.visible` do tipo inteiro não é validada nas consultas de pesquisa internas, o que pode ser utilizado para indicar o sucesso ou falha geral da pesquisa. Este problema pode ser explorado por usuários com acesso à funcionalidade de pesquisa e acesso geral aos fóruns que contêm os tópicos. A vulnerabilidade não expõe o conteúdo das mensagens dos posts. **Recomendações** Para versões do MyBB anteriores à 1.8.39, atualize para a versão 1.8.39 para resolver o problema. Como solução temporária, considere restringir o acesso à funcionalidade de pesquisa para minimizar o risco de exploração.

**Name of the Vulnerable Software and Affected Versions** MyBB versions prior to 1.8.34 **Description** The issue concerns a cross-site scripting (XSS) flaw in the User CP module, specifically via the user email field. This allows for potential malicious script execution. **Recommendations** For versions prior to 1.8.34, update to version 1.8.34 or later to resolve the issue. As a temporary workaround, consider restricting access to the User CP module until the update is applied.

**Nome do software vulnerável e versões afetadas** MyBB versão 1.8.31 **Descrição** A falha permite que invasores remotos injetem código HTML por meio de entradas do usuário ou dados armazenados, devido a uma vulnerabilidade de script entre sites (XSS) no editor visual MyCode (SCEditor). **Recomendações** Para a versão 1.8.31 do MyBB, como solução temporária, considere desativar o editor visual MyCode (SCEditor) até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do MyBB anteriores à 1.8.29 **Descrição** A vulnerabilidade permite a injeção remota de código por um administrador com a permissão “Pode gerenciar configurações?”. O módulo de gerenciamento de configurações do Painel de Controle do Administrador não valida corretamente os tipos de configuração durante a inserção e atualização, tornando possível adicionar configurações do tipo “php” com código PHP, executado nas páginas de alteração de configurações. **Recomendações** Para versões do MyBB anteriores à 1.8.29, atualize para a versão 1.8.29 ou posterior para resolver o problema. Como solução temporária, considere restringir a permissão “Pode gerenciar configurações?” para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas: Versões do MyBB anteriores à 1.8.26 Descrição: O problema está relacionado a uma vulnerabilidade de Cross-site Scripting (XSS). Ela ocorre durante a análise de mensagens, especificamente por meio do Nested Auto URL. Essa vulnerabilidade pode ser explorada para executar scripts maliciosos no lado do cliente. Recomendações: Para versões anteriores à 1.8.26, atualize para a versão 1.8.26 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas: Versões do MyBB anteriores à 1.8.26 Descrição: O problema está relacionado a uma vulnerabilidade de Cross-site Scripting. Ela afeta as ferramentas personalizadas de moderador no MyBB. Recomendações: Para versões anteriores à 1.8.26, atualize para a versão 1.8.26 ou posterior para resolver o problema.