VULHUB ™

MyBB（又名MyBulletinBoard）是MyBB团队开发的一套用PHP和MySQL开发的免费且基于Web的论坛软件。该软件具有简单易用、支持多国语言、可扩展等特点。 MyBB 1.8.3及之前版本的管理后台存在跨站脚本漏洞，该漏洞源于admin/index.php脚本没有充分过滤多个字段（config-attachment_types模块的add操作中的‘MIME-type’字段，config-mycode和user-groups模块的add操作中的‘title’和‘short description’字段，forum-management和tool-tasks模块的add操作中的‘title’字段，style-templates模块的add_set操作中的‘name’字段，style-templates模块的add_template_group操作中的‘title’字段，config-post_icons模块的add操作中的‘name’字段，user-titles模块的add操作中的‘title to assign’字段，config-banning模块中的‘username’字段）。远程攻击者可利用该漏洞注入任意Web脚本或HTML。

MyBB（又名MyBulletinBoard）是MyBB团队开发的一套用PHP和MySQL开发的免费且基于Web的论坛软件。该软件具有简单易用、支持多国语言、可扩展等特点。 MyBB 1.8.3及之前版本的管理后台存在跨站脚本漏洞，该漏洞源于admin/index.php脚本没有充分过滤多个字段（config-attachment_types模块的add操作中的‘MIME-type’字段，config-mycode和user-groups模块的add操作中的‘title’和‘short description’字段，forum-management和tool-tasks模块的add操作中的‘title’字段，style-templates模块的add_set操作中的‘name’字段，style-templates模块的add_template_group操作中的‘title’字段，config-post_icons模块的add操作中的‘name’字段，user-titles模块的add操作中的‘title to assign’字段，config-banning模块中的‘username’字段）。远程攻击者可利用该漏洞注入任意Web脚本或HTML。