PT-2024-19816 · Apache · Apache

Shin24

·

Publicado

2024-05-01

·

Atualizado

2025-06-30

·

CVE-2024-23335

CVSS v3.1

4.7

Média

VetorAV:N/AC:L/PR:H/UI:N/S:U/C:L/I:L/A:L
Nome do software vulnerável e versões afetadas
Versões do MyBB anteriores à 1.8.38
Descrição
O módulo de gerenciamento de backups do Painel de Controle do Administrador (Admin CP) no MyBB pode aceitar .htaccess como nome do arquivo de backup a ser excluído, expondo potencialmente os arquivos de backup armazenados via HTTP em servidores Apache.
Recomendações
Para versões do MyBB anteriores à 1.8.38, atualize para o MyBB 1.8.38 para resolver o problema. Como solução temporária, considere restringir o acesso ao módulo de gerenciamento de backups no Painel de Controle do Administrador até que a atualização seja aplicada.

Exploit

Correção

RCE

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-20

Identificadores relacionados

CVE-2024-23335
GHSA-94XR-G4WW-J47R

Produtos afetados

Apache