XSS-уязвимость в MyBulletinBoard в версиях до 1.8.11
В популярном хостинге для создания форумов MyBulletinBoard(MyBB) в версиях до 1.8.11 обнаружена XSS уязвимость, позволяющая злоумышленнику внедрить вредоносный код.
MyBulletinBoard —это бесплатный движок для создания форумов, написан на PHP и имеет открытый исходный код. Количество созданных с помощью MyBB форумных приложений свыше 500 000.
Уязвимость была обнаружена в модуле Email MyCode, предусматривающей рассылку или единичную отправку сообщений из-за того, что была допущена ошибка в фильтрации кода.
Пример эксплуатации:
[email=2"onmouseover="alert(document.location)]hover me[/email]
Уязвимость была устранена в версии 1.8.11.
Использование Web Application Firewall позволяет блокировать подобные атаки