CVE-2025-48940

Nome do Software Vulnerável e Versões Afetadas Versões do MyBB anteriores à 1.8.39

Descrição O problema afeta o MyBB, um software de fórum gratuito e de código aberto. A falha é causada pelo componente de atualização não validar corretamente a entrada do usuário, permitindo que atacantes realizem Inclusão de Arquivo Local (LFI) por meio de um valor de parâmetro especialmente elaborado. Para explorar esta vulnerabilidade, o instalador deve estar desbloqueado e o script de atualização deve estar acessível, o que pode ocorrer se o fórum for reinstalado via acesso a install/index.php, quando o fórum ainda não foi instalado, ou se o atacante estiver autenticado como um administrador do fórum.

Recomendações Para versões anteriores à 1.8.39, atualize para a versão 1.8.39 para resolver o problema. Como medida de contorno temporária, considere restringir o acesso ao script de atualização e garantir que o instalador esteja bloqueado criando um arquivo install/lock para minimizar o risco de exploração.