Plataforma
php
Componente
mybb-last-users-threads-in-profile
Corregido en
1.2.1
La vulnerabilidad CVE-2018-25250 es una falla de Cross-Site Scripting (XSS) persistente presente en el plugin MyBB Last User's Threads in Profile Plugin, afectando a las versiones 1.2 y 1.2. Un atacante puede inyectar scripts maliciosos al visitar el perfil de un usuario, comprometiendo la confidencialidad y disponibilidad de la información. La vulnerabilidad fue publicada el 4 de abril de 2026 y se recomienda actualizar el plugin a una versión corregida.
Esta vulnerabilidad XSS permite a un atacante inyectar código JavaScript malicioso en la página de perfil de un usuario. Al visitar el perfil, el navegador del usuario ejecutará el script inyectado, lo que podría resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos o la modificación del contenido de la página. El impacto se amplifica si el sitio web MyBB es utilizado por un gran número de usuarios, ya que un atacante podría afectar a una amplia audiencia. La persistencia de la vulnerabilidad significa que el script se almacena en la base de datos y se ejecuta cada vez que un usuario visita el perfil afectado, lo que la convierte en una amenaza particularmente peligrosa.
La vulnerabilidad CVE-2018-25250 fue publicada el 4 de abril de 2026. No se ha reportado su inclusión en el KEV de CISA ni se han identificado campañas de explotación activas. La disponibilidad de un Proof of Concept (PoC) público podría facilitar la explotación de esta vulnerabilidad por parte de atacantes con menos experiencia.
Administrators and users of MyBB forums who have installed the Last User's Threads in Profile Plugin versions 1.2–1.2 are at risk. Shared hosting environments where multiple MyBB instances are hosted on the same server are particularly vulnerable, as a compromise of one instance could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r "<script" /var/www/mybb/plugins/lastusersthreads/• generic web:
curl -I https://your-mybb-site.com/profile.php?uid=1 | grep Content-Typedisclosure
Estado del Exploit
EPSS
0.03% (9% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2018-25250 es actualizar el plugin MyBB Last User's Threads in Profile Plugin a una versión corregida. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas del usuario, especialmente los títulos de los hilos. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan etiquetas de script sospechosas en los títulos de los hilos. La monitorización de los logs del servidor en busca de patrones de inyección de código también puede ayudar a detectar y responder a ataques.
Actualice el plugin MyBB Last User's Threads in Profile a la última versión disponible, ya que la versión 1.2 es vulnerable. Verifique la página de descargas del plugin o el foro de MyBB para obtener la versión actualizada. Desactive el plugin si no es esencial hasta que se publique una actualización.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2018-25250 is a cross-site scripting (XSS) vulnerability affecting the MyBB Last User's Threads in Profile Plugin, allowing attackers to inject malicious scripts into user profiles.
You are affected if you are using MyBB Last User's Threads in Profile Plugin versions 1.2–1.2. Upgrade to a patched version to resolve the vulnerability.
Upgrade the MyBB Last User's Threads in Profile Plugin to the latest available version. Input validation and WAF rules can provide temporary mitigation.
There are currently no confirmed reports of active exploitation, but XSS vulnerabilities are frequently targeted, and exploitation is possible.
Refer to the MyBB forums and security advisories for the latest information and updates regarding CVE-2018-25250.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.