添加时间:
2009-05-08

系统编号:
WAVDB-01395
BUGTRAQ: 34798

影响版本:
MyBB <= 1.4.5

程序介绍:

MyBB是一款流行的Web论坛程序。

漏洞分析:

MyBB的用户控制台没有正确地验证用户提交输入中的Avatar URL字段，远程攻击者可以通过向论坛提交恶意请求执行跨站脚本攻击，导致窃取用户凭据、更改论坛设置或注入恶意php脚本。

漏洞利用:

http://yourdomain.com/somefile.png?">[xss]

解决方案:
厂商补丁：

MyBB
----
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://blog.mybboard.net/2009/05 ... ed-security-update/

信息来源:
<*来源：Jacques Copeau （jacquescopeau@googlemail.com）

链接：http://secunia.com/advisories/34979/
http://marc.info/?l=bugtraq&m=124144403702957&w=2
*>