Un par de vulnerabilidades críticas en un popular software de tablón de anuncios llamado MyBB podrían haberse encadenado para lograr la ejecución remota de código (RCE) sin necesidad de acceso previo a una cuenta privilegiada.
Las fallas, que fueron descubiertas por los investigadores de seguridad independientes Simon Scannell y Carl Smith, se informaron al equipo de MyBB el 22 de febrero, luego de lo cual se lanzó una actualización (versión 1.8.26) el 10 de marzo que aborda los problemas.
MyBB, anteriormente MyBBoard y originalmente MyBulletinBoard, es un software de foro gratuito y de código abierto desarrollado con PHP y MySQL. Según el motor de búsqueda de activos de Internet Spyse, hay al menos 2100 dominios potencialmente vulnerables que tienen MyBB instalado.
Según los investigadores, el primer problema, una vulnerabilidad XSS persistente de URL automática anidada (CVE-2021-27889), se deriva de cómo MyBB analiza los mensajes que contienen URL durante el proceso de representación, lo que permite a cualquier usuario del foro sin privilegios incrustar cargas útiles XSS almacenadas en hilos. , publicaciones e incluso mensajes privados.
«La vulnerabilidad se puede explotar con una interacción mínima del usuario al guardar un mensaje MyCode creado con fines maliciosos en el servidor (por ejemplo, como una publicación o un mensaje privado) y dirigir a la víctima a una página donde se analiza el contenido», dijo MyBB en un aviso.
La segunda vulnerabilidad se refiere a una inyección SQL (CVE-2021-27890) en el administrador de temas de un foro que podría resultar en un RCE autenticado. Una explotación exitosa ocurre cuando un administrador del foro con el mensaje «¿Puede administrar temas?» El permiso importa un tema creado con fines malintencionados, o un usuario, para quien se ha establecido el tema, visita una página del foro.
«Un atacante sofisticado podría desarrollar un exploit para la vulnerabilidad Stored XSS y luego enviar un mensaje privado a un administrador objetivo de una placa MyBB», describieron los investigadores en un artículo técnico. «Tan pronto como el administrador abre el mensaje privado, en su propio foro de confianza, se activa el exploit. Una vulnerabilidad RCE se explota automáticamente en segundo plano y conduce a una toma de control total del foro MyBB objetivo».
Además de las dos vulnerabilidades antes mencionadas, la versión 1.8.26 también resuelve otras cuatro deficiencias de seguridad identificadas por el equipo de MyBB, que incluyen:
- CVE-2021-27946: Validación incorrecta de la cantidad de votos en las opciones de encuesta de subprocesos, lo que lleva a la inyección de SQL
- CVE-2021-27947: desinfección incorrecta de ciertos datos del foro, lo que provoca la inyección de SQL cuando se usa en consultas posteriores
- CVE-2021-27948: se pueden guardar números de identificación de grupos de usuarios adicionales sin la validación adecuada en el Panel de control de administración, lo que resulta en una inyección SQL y
- CVE-2021-27949: una vulnerabilidad XSS reflejada en las herramientas de moderador personalizadas, cuando la entrada del usuario adjunta a las solicitudes POST protegidas con token CSRF no se sanea adecuadamente
Se recomienda a los usuarios de MyBB que actualicen a la última versión para mitigar el riesgo asociado con las fallas.
