PT-2022-27015 · Mybb · Mybb

Vz

·

Publicado

2022-11-21

·

Atualizado

2024-03-06

·

CVE-2022-43709

CVSS v3.1

4.9

Média

VetorAV:N/AC:L/PR:H/UI:N/S:U/C:N/I:H/A:N
Nome do software vulnerável e versões afetadas
MyBB versão 1.8.31
Descrição
A falha permite que usuários remotos autenticados modifiquem a string de consulta por meio de entrada direta do usuário ou de configurações de filtro de pesquisa armazenadas no módulo “Usuários” do Painel de Controle Administrativo, resultando em uma vulnerabilidade de injeção de SQL.
Recomendações
Para a versão 1.8.31 do MyBB, considere restringir o acesso ao módulo Usuários do Painel de Controle do Administrador até que uma correção esteja disponível. Como solução temporária, evite usar entradas diretas do usuário ou configurações de filtro de pesquisa armazenadas no módulo afetado para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

XSS

SQL injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-79CWE-89

Identificadores relacionados

BIT-MYBB-2022-43709
CVE-2022-43709
GHSA-GGP5-454P-867V

Produtos afetados

Mybb