Удалённо эксплуатируемая уязвимость в форумном движке MyBB

В свободном движке для создания web-форумов MyBB выявлено несколько уязвимостей, которые в сочетании позволяют организовать выполнение PHP-кода на сервере. Проблемы проявляются в выпусках с 1.8.16 по 1.8.25 и устранены в обновлении MyBB 1.8.26.

Первая уязвимость (CVE-2021-27889) позволяет непривилегированному участнику форума встроить JavaScript-код в публикации, обсуждения и приватные сообщения. Форум допускает добавление изображений, списков и мультимедийных данных через специальные теги, которые преобразуются в HTML-разметку. Из-за ошибки в коде преобразования подобных тегов, конструкция с двойным URL

[img]http://xyzsomething.com/image?)http://x.com/onerror=alert(1);//[/img]

Преобразуется в:

<img src="http://xyzsomething.com/image?)<a href=" http:="" x.com="" 
 onerror="alert(1);//&quot;" target="_blank" rel="noopener" class="mycode_url">

Вторая уязвимость (CVE-2021-27890) даёт возможность осуществить подстановку SQL-команд и добиться выполнения своего кода. Проблема возникает из-за подстановки $theme[‘templateset’] в тело SQL-запроса без должной чистки и выполнении компонентов ${…} через вызов eval. Например, можно организовать запуск PHP-команды passthru(‘ls’) при обработке темы оформления с конструкцией вида:

<templateset>') AND 1=0 UNION SELECT title, '${passthru(\'ls\')}' from mybb_templates -- </templateset>

Для эксплуатации второй уязвимости необходимо использование сеанса с правами администратора форума. Для получения возможность отправки запроса с правами администратора атакующий может воспользоваться первой уязвимостью и отправить администратору приватное сообщение с JavaScript-кодом, при просмотре которого будет эксплуатирована вторая уязвимость.

А на этом сегодня все. Надеюсь данная статья будет вам полезна.
Журнал Cyber-X

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *