Avis du CERT-FR

Objet: Vulnérabilité dans MyBB

Gestion du document

Référence	CERTA-2006-AVI-327
Titre	Vulnérabilité dans MyBB
Date de la première version	04 août 2006
Date de la dernière version	04 août 2006
Source(s)	Annonce de sécurité MyBB du 28 juillet 2006
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Injection de code indirecte à distance (XSS)

Systèmes affectés

MyBB versions 1.1.6 et antérieures.

Description

Une vulnérabilité a été découverte dans le fichier usercp.php de MyBB. Elle permet à un utilisateur malveillant, en manipulant le chemin d'insertion d'un avatar, de réaliser des attaques de type cross site scripting.

Solution

Mettre à jour MyBB en version 1.1.7 (voir Documentation).

Documentation

Annonce de sécurité MyBB du 28 juillet 2006

http://community.mybboard.net/showthread.php?tid=10853

Version 1.1.7 de MyBB :

http://www.mybboard.com/downloads.php

Gestion détaillée du document

le 04 août 2006: version initiale.