Plataforma
php
Componente
mybb-downloads
Corregido en
2.0.4
CVE-2018-25248 es una vulnerabilidad de Cross-Site Scripting (XSS) persistente presente en el plugin MyBB Downloads Plugin, específicamente en las versiones 2.0.3 a 2.0.3. Esta falla permite a usuarios regulares inyectar código JavaScript malicioso en el título de una descarga. La ejecución del script ocurre cuando un administrador valida la descarga, comprometiendo potencialmente la seguridad del foro y la información de los usuarios.
Un atacante puede explotar esta vulnerabilidad para ejecutar código JavaScript arbitrario en el navegador de cualquier usuario que acceda a la página de validación de la descarga. Esto podría incluir el robo de cookies de sesión, la redirección a sitios web maliciosos, la modificación del contenido de la página o la inyección de código malicioso en el foro. El impacto es significativo, ya que afecta la integridad y confidencialidad de la información del foro y de sus usuarios. La persistencia del XSS significa que el script se almacena en la base de datos y se ejecuta cada vez que se accede a la página, ampliando el alcance del ataque.
Este CVE fue publicado el 4 de abril de 2026. No se ha reportado explotación activa a la fecha. No se encuentra en el KEV de CISA. La probabilidad de explotación es considerada baja debido a la falta de PoCs públicamente disponibles y la relativa antigüedad de la vulnerabilidad. Se recomienda aplicar la corrección o mitigaciones lo antes posible.
MyBB forum administrators are at the highest risk, as they are the ones who validate downloads and are therefore exposed to the malicious script execution. Regular forum members are also at risk if they click on a malicious download link, although the impact is generally limited to their own browser session.
• php: Examine the downloads.php file for instances where the download title is echoed without proper sanitization. Search for patterns like <script> or javascript: within the title parameter in access logs.
grep -r 'javascript:' /path/to/mybb/downloads.php• generic web: Monitor access logs for requests to downloads.php with unusual or lengthy title parameters. Check response headers for signs of script execution.
curl -I https://example.com/downloads.php?title=<script>alert('XSS')</script>disclosure
Estado del Exploit
EPSS
0.03% (8% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin MyBB Downloads Plugin a la versión 2.0.4 o superior, que corrige esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento exhaustivos de todas las entradas del usuario, especialmente el campo del título de la descarga. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan código JavaScript sospechoso en el parámetro del título. Monitorear los registros del servidor en busca de patrones de inyección de código también puede ayudar a detectar y responder a posibles ataques.
Actualice el plugin MyBB Downloads a la versión 2.0.4 o posterior para mitigar la vulnerabilidad XSS. Esta actualización corrige la forma en que se manejan los títulos de descarga, evitando la inyección de código malicioso.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2018-25248 is a cross-site scripting (XSS) vulnerability in MyBB Downloads Plugin versions 2.0.3–2.0.3, allowing attackers to inject malicious scripts through the download title field.
You are affected if you are running MyBB Downloads Plugin version 2.0.3–2.0.3. Upgrade to version 2.0.4 or later to mitigate the risk.
Upgrade the MyBB Downloads Plugin to version 2.0.4 or later. As a temporary workaround, carefully review all new downloads before validation.
While no active campaigns have been definitively linked, XSS vulnerabilities are frequently targeted, making this a potential risk.
Refer to the official MyBB security advisory for detailed information and updates regarding CVE-2018-25248.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.