O MyBB é um software usado em fóruns, desenvolvido em PHP e MySQL, e no qual foram descobertas certas falhas de segurança que, se combinadas, podiam levar â execução de código remota sem a necessidade de acesso prévio a uma conta privilegiada.

O problema devia-se a dois principais problemas

- CVE-2021-27889: XSS persistente, na forma como o MyBB fazia o parsing de mensagens que continham URL's no processo de renderização, o que fazia com que qualquer utilizador do fórum sem conta privilegiada conseguisse embutir payloads de XSS em threads, posts e mensagens privadas

- CVE-2021-27890: injeção de SQL, desta vez no gestor de temas do fórum, e que podia levar a uma execução de código remota mas de forma autenticada. Podia ser explorada aquando da importação, por parte de um administrador, de um tema especialmente criado, para quem visitasse a página do fórum

Mais quatro falhas foram endereçadas na versão corrigida, a 1.8.26:

CVE-2021-27946: validação imprópria do número de votos, conducente a injeção de SQL.

CVE-2021-27947 - validação imprópria de alguns dados do fórum, levando também a injeção de SQL.

CVE-2021-27948 - números de group id's dos utilizadores guardados de forma imprópria no Painel de Controlo de Administrador, conduzindo a injeção de SQL.

CVE-2021-27949 - falha de XSS refletido nas ferramentas do moderador assim que o utilizador colocasse anexos a pedidos POST com token de CSRF (Cross-Site Request Forgery)

Takeaways:

- Validar sempre o input dos utilizadores nos campos disponíveis e escondidos

- Verificar privilégios para utilizadores autenticados e não autenticados

Mais informações: https://portswigger.net/daily-swig/chained-vulnerabilities-used-to-take-control-of-mybb-forums