CVE-2024-23336

Versões do MyBB anteriores à 1.8.38

A lista padrão de hosts remotos não permitidos no MyBB não contém o bloco 127.0.0.0/8, o que pode resultar em um problema de falsificação de solicitação do lado do servidor (SSRF). A lista Endereços Remotos Proibidos do arquivo de configuração ($config[‘disallowed remote addresses’]) contém o endereço 127.0.0.1, mas não inclui o bloco completo 127.0.0.0/8. Os administradores de fóruns instalados devem atualizar a configuração existente (inc/config.php) para incluir todos os endereços bloqueados por padrão. Recomenda-se que os usuários verifiquem se ela inclui quaisquer outros endereços IPv4 que apontem para o servidor e outros recursos internos.

Para versões do MyBB anteriores à 1.8.38, atualize para o MyBB 1.8.38 para resolver o problema.

Como solução temporária, considere adicionar manualmente 127.0.0.0/8 à lista de endereços não permitidos no arquivo de configuração (inc/config.php) até que um patch esteja disponível.

Restrinja o acesso a recursos internos e verifique se a configuração inclui quaisquer outros endereços IPv4 que apontem para o servidor, a fim de minimizar o risco de exploração.