CVE-2020-15139

Versões do MyBB anteriores à 1.8.24

O problema decorre de uma escapagem inadequada de entradas no MyCode personalizado para o editor visual, levando a uma vulnerabilidade XSS baseada em DOM. Isso pode ser explorado direcionando a vítima para uma página com o editor visual ativo, como uma postagem ou mensagem privada, onde ele opera em uma mensagem MyCode criada de forma maliciosa. Os cenários de exploração incluem páginas com conteúdo de mensagem pré-preenchido usando parâmetros GET/POST ou páginas de resposta citando mensagens maliciosas salvas anteriormente.

Para versões anteriores à 1.8.24, atualize para a versão 1.8.24 e certifique-se de que o atributo de versão no modelo codebuttons seja atualizado para temas não padrão, a fim de servir a versão mais recente do arquivo corrigido jscripts/bbcodes sceditor.js.