MyBB < 1.8.25 (CVE-2021-27279) XSS

华盟原创文章投稿奖励计划

概述

 [email]MyCode的 HTML 输出可能包括标签属性中的左方括号[和右方]括号 这可能会导致意外的 MyCode 进一步解析,并在参数值中插入带有未转义的冲突引号的输出,从而导致 XSS 漏洞href=""<a>

影响

        解析包含意外嵌套的[email]MyCode (BBCode) 标签的消息可能会导致 HTML 输出格式错误,从而导致 XSS 漏洞

        通过将受害者指向呈现恶意制作的 MyCode 消息的页面,可以在最少的用户交互下利用该漏洞这可能发生在:

  • 通过 POST 或 GET 参数预先填写具有即时预览的新消息表单,或

  • 显示先前保存在服务器上的消息(例如作为帖子或私人消息)。

在以下情况下,影响可能会减少:

  • [email]mycode的被禁用(管理员CP→配置→设置→快速表情符号和BB代码允许电子邮件mycode的设置为关闭),或

  • 个人论坛、私人消息、用户个人资料签名和日历禁用 MyCode,或

  • 访客用户不得在支持 MyCode 的情况下提交消息,或者发布访问权限受到其他限制或控制。

Payload

  • [email]a@a.a?[email=a@a.a?onmouseover=alert(1) a]a[/email][/email]

MyBB < 1.8.25 (CVE-2021-27279) XSS

补丁

MyBB 1.8.25 通过以下更改解决了此问题:

Commit: cb781b4

  • .patch: https://github.com/mybb/mybb/commit/cb781b49116bf5c4d8deca3e17498122b701677a.patch

解决方法

要在不升级 MyBB 的情况下减少影响,请更改以下设置(管理员 CP → 配置 → 设置):

  • 华盟知识星球入口

    可点击Smilies and BB Code →允许电子邮件 MyCode :关闭

侵权请私聊公众号删文

本文来源Khan安全攻防实验室,经授权后由congtou发布,观点不代表华盟网的立场,转载请联系原作者。

发表评论