Mit MyBB erstellte Foren sind verwundbar und Angreifer könnten im schlimmsten Fall eigenen Code auf Servern ausführen. Die abgesicherte Version 1.8.26 steht zum Download bereit.
Am gefährlichsten gilt eine als "kritisch" eingestufte persistente XSS-Lücke (CVE-2021-27889), über die Angreifer dauerhaft Schadcode auf Servern verankern könnten. Dafür müssen sie manipulierte MyCode-Nachrichten an verwundbare Server schicken, die diese speichern. Im Anschluss müssen Angreifer Opfer noch auf die Website locken, auf der der Inhalt geparst wird.
Durch das erfolgreiche Ausnutzen von vier weiteren mit dem Risiko "hoch" versehenen Schwachstellen könnten Angreifer SQL-Attacken ausüben. Eine weitere XSS-Lücke ist mit "mittel" eingestuft. Weitere Informationen zu den Lücken haben die Entwickler in einer Warnmeldung verlinkt.
Quelle: Angreifer könnten mit MyBB-Software erstellte Foren attackieren | heise online