CVE-2014-3827

Versões do MyBB anteriores à 1.8.4

A vulnerabilidade permite que usuários remotos autenticados injetem scripts web ou HTML arbitrários. Isso pode ser feito por meio do parâmetro title na ação de edição ou adição no módulo user-users, na ação finduser, ou do parâmetro name em uma ação de edição no módulo user-user, ou ainda na ação editprofile do arquivo modcp.php.

Para versões anteriores à 1.8.4, atualize para a versão 1.8.4 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao módulo user-users e ao modcp.php para minimizar o risco de exploração. Evite usar os parâmetros title e name nas ações afetadas até que o problema seja resolvido.