Kritischer RCE-Fehler in der MyBB-Forensoftware gemeldet – patchen Sie Ihre Sites

Cyber Security News

Ein Paar kritischer Schwachstellen in der beliebten Bulletin-Board-Software MyBB hätte miteinander verkettet werden können, um Remote-Code-Ausführung (RCE) zu erreichen, ohne dass ein vorheriger Zugriff auf ein privilegiertes Konto erforderlich gewesen wäre.

Die Schwachstellen, die von den unabhängigen Sicherheitsforschern Simon Scannell und Carl Smith entdeckt wurden, wurden dem MyBB-Team am 22. Februar gemeldet, woraufhin es am 10. März ein Update (Version 1.8.26) veröffentlichte, das die Probleme behebt.

MyBB, früher MyBBoard und ursprünglich MyBulletinBoard, ist eine freie und quelloffene Forensoftware, die mit PHP und MySQL entwickelt wurde.

Den Forschern zufolge rührt das erste Problem – eine verschachtelte Auto-URL-persistente XSS-Schwachstelle (CVE-2021-27889) – daher, wie MyBB Nachrichten, die URLs enthalten, während des Rendering-Prozesses parst, was es jedem unprivilegierten Forumsbenutzer ermöglicht, gespeicherte XSS-Payloads in Threads, Beiträge und sogar private Nachrichten einzubetten.

“Die Schwachstelle kann mit minimaler Benutzerinteraktion ausgenutzt werden, indem eine böswillig gestaltete MyCode-Nachricht auf dem Server gespeichert wird (z. B. als Beitrag oder private Nachricht) und ein Opfer auf eine Seite verweist, auf der der Inhalt geparst wird”, so MyBB in einem Advisory.

Die zweite Schwachstelle betrifft eine SQL-Injection (CVE-2021-27890) im Themenmanager eines Forums, die zu einem authentifizierten RCE führen kann. Eine erfolgreiche Ausnutzung erfolgt, wenn ein Forenadministrator mit der Berechtigung “Kann Themen verwalten?” ein böswillig erstelltes Thema importiert oder ein Benutzer, für den das Thema festgelegt wurde, eine Forenseite besucht.

“Ein raffinierter Angreifer könnte einen Exploit für die Stored XSS-Schwachstelle entwickeln und dann eine private Nachricht an einen gezielten Administrator eines MyBB-Boards senden”, schreiben die Forscher in einem technischen Bericht. “Sobald der Administrator die private Nachricht in seinem eigenen, vertrauenswürdigen Forum öffnet, wird der Exploit ausgelöst. Eine RCE-Schwachstelle wird automatisch im Hintergrund ausgenutzt und führt zu einer vollständigen Übernahme des anvisierten MyBB-Forums.”

Neben den beiden genannten Schwachstellen behebt die Version 1.8.26 vier weitere Sicherheitsmängel, die vom MyBB-Team identifiziert wurden, darunter. CVE-2021-27946 – Unsachgemäße Validierung der Anzahl der Stimmen in Thread-Umfrageoptionen, was zu SQL-Injection führt CVE-2021-27947 – Unsachgemäße Bereinigung bestimmter Forendaten, was zu einer SQL-Injektion führt, wenn sie in nachfolgenden Abfragen verwendet wird CVE-2021-27948 – Zusätzliche ID-Nummern für Benutzergruppen können ohne ordnungsgemäße Validierung im Admin Control Panel gespeichert werden, was zu einer SQL-Injektion führt, und CVE-2021-27949 – Eine reflektierte XSS-Schwachstelle in benutzerdefinierten Moderatorentools, wenn Benutzereingaben, die an CSRF-Token-geschützte POST-Anforderungen angehängt sind, nicht ordnungsgemäß bereinigt werden

MyBB-Benutzern wird empfohlen, auf die neueste Version zu aktualisieren, um das mit den Fehlern verbundene Risiko zu mindern.

Haben Sie diesen Artikel interessant gefunden? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

Einige Teile dieses Artikels stammen aus:
thehackernews.com