In der kostenlosen Engine zur Erstellung von Webforen MyBB wurden mehrere Schwachstellen identifiziert, die in Kombination die Ausführung von PHP-Code auf dem Server ermöglichen. Die Probleme traten in den Versionen 1.8.16 bis 1.8.25 auf und wurden im MyBB 1.8.26-Update behoben.
Die erste Schwachstelle (CVE-2021-27889) ermöglicht es einem unprivilegierten Forumsmitglied, JavaScript-Code in Beiträge, Diskussionen und private Nachrichten einzubetten. Im Forum können Sie Bilder, Listen und Multimediadaten über spezielle Tags hinzufügen, die in HTML-Markup umgewandelt werden. Aufgrund eines Fehlers im Konvertierungscode für solche Tags ist das doppelte URL-Design [img]http://xyzsomething.com/image?)http://x.com/onerror=alert(1);//[/img ] wird in V umgewandelt
Die zweite Schwachstelle (CVE-2021-27890) ermöglicht es, SQL-Befehle zu ersetzen und die Ausführung Ihres Codes zu erreichen. Das Problem tritt auf, weil $theme['templateset'] ohne ordnungsgemäße Bereinigung in den Hauptteil der SQL-Abfrage eingefügt und ${...}-Komponenten über einen Eval-Aufruf ausgeführt werden. Sie können beispielsweise den PHP-Befehl passthru('ls') ausführen, wenn Sie ein Thema mit einem Konstrukt wie dem folgenden verarbeiten: ') AND 1=0 UNION SELECT title, '${passthru(\'ls\')}' from mybb_templates —
Um die zweite Sicherheitslücke auszunutzen, müssen Sie eine Sitzung mit Forum-Administratorrechten verwenden. Um eine Anfrage mit Administratorrechten senden zu können, kann ein Angreifer die erste Schwachstelle ausnutzen und dem Administrator eine private Nachricht mit JavaScript-Code senden, der bei Anzeige die zweite Schwachstelle ausnutzt.
Source: opennet.ru
