Risque
- Injection de code indirecte à distance (XSS)
Systèmes affectés
MyBB versions 1.1.6 et antérieures.
Description
Une vulnérabilité a été découverte dans le fichier usercp.php de MyBB. Elle permet à un utilisateur malveillant, en manipulant le chemin d'insertion d'un avatar, de réaliser des attaques de type cross site scripting.
Solution
Mettre à jour MyBB en version 1.1.7 (voir Documentation).
Documentation
- Annonce de sécurité MyBB du 28 juillet 2006 http://community.mybboard.net/showthread.php?tid=10853
- Version 1.1.7 de MyBB : http://www.mybboard.com/downloads.php