XSS-уязвимость в MyBulletinBoard в версиях до 1.8.11

В популярном хостинге для создания форумов MyBulletinBoard(MyBB) в версиях до 1.8.11 обнаружена XSS уязвимость, позволяющая злоумышленнику внедрить вредоносный код.

MyBulletinBoard —это бесплатный движок для создания форумов, написан на PHP и имеет открытый исходный код. Количество созданных с помощью MyBB форумных приложений свыше 500 000.

Уязвимость была обнаружена в модуле Email MyCode, предусматривающей рассылку или единичную отправку сообщений из-за того, что была допущена ошибка в фильтрации кода.

Пример эксплуатации:

[email=2"onmouseover="alert(document.location)]hover me[/email]

Уязвимость была устранена в версии 1.8.11.

Использование Web Application Firewall позволяет блокировать подобные атаки