MyBB < 1.6.10 複数の脆弱性
medium Nessus プラグイン ID 68995
Language:
概要
リモートのWebサーバーは、複数の脆弱性の影響を受けるPHPアプリケーションをホストしています。説明
そのバージョン番号によると、リモート Web サーバーでホスティングされている MyBB のインストールは、複数の脆弱性の影響を受けます。- データベース最適化の際のユーザー指定の入力のサニタイズが不適切なために、SQL インジェクションの脆弱性が存在します。
- データベースバックアップを作成する際のユーザー指定の入力のサニタイズが不適切なために、SQL インジェクションの脆弱性が存在します。
- テーマ名を介して渡されるユーザー指定入力の検証が不適切なために、クロスサイトスクリプティングの脆弱性が存在します。
- ユーザーが自身のスレッドだけを表示できるフォーラムの権限検証が不適切なために、情報漏洩の脆弱性が存在します。
- デバッグページを介して渡されるユーザー指定入力の検証が不適切なために、クロスサイトスクリプティングの脆弱性が存在します。
- modcp.php でユーザー指定の入力の検証が適切でないため、詳細不明な脆弱性が存在します。
- calendar.php でユーザー指定の入力の検証が適切でないため、詳細不明な脆弱性が存在します。
Nessus はこれらの問題をテストしていませんが、その代わりにアプリケーションの自己報告されたバージョン番号に依存していることに、注意してください。
ソリューション
バージョン1.6.10以降にアップグレードしてください。参考資料
プラグインの詳細
深刻度: Medium
ID: 68995
ファイル名: mybb_1610.nasl
バージョン: 1.11
タイプ: remote
ファミリー: CGI abuses
公開日: 2013/7/22
更新日: 2022/4/11
設定: パラノイドモードの有効化, 徹底したチェックを有効にする
サポートされているセンサー: Nessus
リスク情報
CVSS v2
リスクファクター: Medium
基本値: 6.5
現状値: 5.4
ベクトル: CVSS2#AV:N/AC:L/Au:S/C:P/I:P/A:P
脆弱性情報
CPE: cpe:/a:mybb:mybb
必要な KB アイテム: www/PHP, Settings/ParanoidReport, installed_sw/MyBB
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2013/4/22
脆弱性公開日: 2013/4/22
参照情報
BID: 59407