Defecto crítico de RCE reportado en el software MyBB Forum: parchee sus sitios

Un par de vulnerabilidades críticas en un software de tablón de anuncios popular llamado MyBB podrían haberse encadenado para lograr la ejecución remota de código (RCE) sin la necesidad de acceso previo a una cuenta privilegiada.

Las fallas, que fueron descubiertas por los investigadores de seguridad independientes Simon Scannell y Carl Smith, fueron informadas al equipo MyBB el 22 de febrero, luego de lo cual lanzó una actualización (versión 1.8.26) el 10 de marzo para abordar los problemas.

MyBB, anteriormente MyBBoard y originalmente MyBulletinBoard, es un software de foro gratuito y de código abierto desarrollado con PHP y MySQL.

Según los investigadores, el primer problema, una vulnerabilidad XSS persistente de URL automática anidada (CVE-2021-27889), se deriva de cómo MyBB analiza los mensajes que contienen URL durante el proceso de representación, lo que permite a cualquier usuario del foro sin privilegios incrustar cargas útiles XSS almacenadas en los hilos. , publicaciones e incluso mensajes privados.

Citar"La vulnerabilidad puede explotarse con una mínima interacción del usuario guardando un mensaje MyCode creado con fines malintencionados en el servidor (por ejemplo, como una publicación o mensaje privado) y dirigiendo a la víctima a una página donde se analiza el contenido", dijo MyBB en un aviso.

La segunda vulnerabilidad se refiere a una inyección SQL ( CVE-2021-27890 ) en el administrador de temas de un foro que podría resultar en un RCE autenticado. Una explotación exitosa ocurre cuando un administrador del foro con el mensaje "¿Puede administrar temas?" El permiso importa un tema creado con fines malintencionados, o un usuario, para el que se ha configurado el tema, visita una página de foro.

"Un atacante sofisticado podría desarrollar un exploit para la vulnerabilidad Stored XSS y luego enviar un mensaje privado a un administrador específico de una placa MyBB", describieron los investigadores en un informe técnico. "Tan pronto como el administrador abre el mensaje privado, en su propio foro de confianza, el exploit se activa. Una vulnerabilidad RCE se explota automáticamente en segundo plano y conduce a una toma de control total del foro MyBB objetivo".

Además de las dos vulnerabilidades mencionadas anteriormente, la versión 1.8.26 también resuelve otras cuatro deficiencias de seguridad que fueron identificadas por el equipo MyBB, que incluyen:

- CVE-2021-27946 : validación incorrecta del número de votos en las opciones de sondeo de subprocesos, lo que lleva a la inyección de SQL
- CVE-2021-27947 : desinfección incorrecta de ciertos datos del foro, lo que provoca la inyección de SQL cuando se usa en consultas posteriores
- CVE-2021-27948 : los números de ID de grupos de usuarios adicionales se pueden guardar sin la validación adecuada en el Panel de control de administración, lo que da como resultado la inyección de SQL, y
- CVE-2021-27949 : una vulnerabilidad XSS reflejada en las herramientas de moderador personalizadas, cuando la entrada del usuario adjunta a las solicitudes POST protegidas con token CSRF no se desinfecta correctamente.

Se recomienda a los usuarios de MyBB que actualicen a la última versión para mitigar el riesgo asociado con las fallas.

Fuente: The Hacker News