Plateforme
php
Composant
mybb
Corrigé dans
1.8.40
La vulnérabilité CVE-2025-48940 affecte MyBB, un logiciel de forum open source, jusqu'à la version 1.8.39. Elle permet à un attaquant d'effectuer une inclusion locale de fichiers (LFI) en manipulant des paramètres lors du processus de mise à niveau. Cette faille peut compromettre la confidentialité et l'intégrité du système, et est corrigée dans la version 1.8.39.
L'inclusion locale de fichiers (LFI) permet à un attaquant de lire des fichiers sensibles sur le serveur, potentiellement contenant des informations de configuration, des données utilisateur ou du code source. Dans le contexte de MyBB, un attaquant pourrait accéder à des fichiers de configuration contenant des identifiants de base de données, ou à des fichiers de session contenant des informations d'authentification. L'attaquant doit avoir accès au script de mise à niveau (via une réinstallation ou en étant connecté en tant qu'administrateur) et le fichier install/lock doit être absent pour exploiter cette vulnérabilité. Cette vulnérabilité est particulièrement préoccupante pour les installations MyBB qui n'ont pas été correctement sécurisées, notamment celles où le processus d'installation n'a pas été finalisé ou où le fichier de verrouillage d'installation est manquant.
La vulnérabilité CVE-2025-48940 a été publiée le 2 juin 2025. Il n'y a pas d'indication d'une exploitation active à ce jour. Aucun PoC public n'est connu, mais la nature de la vulnérabilité LFI la rend potentiellement exploitable par des acteurs malveillants. La probabilité d'exploitation est considérée comme moyenne en raison de la nécessité de conditions spécifiques (fichier install/lock absent et accès au script de mise à niveau).
Organizations running MyBB forum software, particularly those using older, unpatched versions (≤ 1.8.39), are at risk. Shared hosting environments where multiple users share the same server instance are also particularly vulnerable, as an attacker could potentially exploit this vulnerability on one user's forum and gain access to other users' data.
• php: Examine web server access logs for requests containing unusual parameters in the install/index.php URL. Look for patterns indicative of file path traversal attempts.
grep 'install/index.php[?&].*' /var/log/apache2/access.log• php: Check for the presence of the install/lock file. Its absence indicates a potential vulnerability.
ls -l /path/to/mybb/install/lock• generic web: Monitor file system integrity for unexpected modifications to sensitive files, particularly those related to MyBB configuration. • generic web: Review MyBB forum administrator accounts for suspicious login activity or unauthorized access attempts.
disclosure
Statut de l'Exploit
EPSS
0.14% (percentile 34%)
CISA SSVC
Vecteur CVSS
La solution principale est de mettre à niveau MyBB vers la version 1.8.39 ou supérieure. Si la mise à niveau n'est pas immédiatement possible, assurez-vous que le fichier install/lock est présent pour empêcher l'accès au script de mise à niveau. En attendant la mise à niveau, il est possible de restreindre l'accès au script install/index.php via les règles de pare-feu ou de proxy inverse. Vérifiez également les journaux d'accès et d'erreurs pour détecter toute tentative d'accès non autorisée au script de mise à niveau. Après la mise à niveau, confirmez que la vulnérabilité est corrigée en tentant d'accéder au script de mise à niveau et en vérifiant qu'il renvoie une erreur.
Actualice MyBB a la versión 1.8.39 o superior. Esta versión corrige la vulnerabilidad de inclusión de archivos locales. Asegúrese de que el archivo `install/lock` esté presente para evitar el acceso no autorizado al instalador.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-48940 is a Local File Inclusion (LFI) vulnerability in MyBB forum software versions 1.8.39 and earlier, allowing attackers to potentially read sensitive files.
You are affected if you are using MyBB version 1.8.39 or earlier. Upgrade to version 1.8.39 to resolve the vulnerability.
Upgrade MyBB to version 1.8.39. Ensure the install/lock file is present and restrict access to the install/index.php script.
As of now, there is no confirmed active exploitation, but the vulnerability is publicly known and could be targeted.
Refer to the official MyBB security advisory for detailed information and updates: [https://docs.mybb.com/security/security-advisories/](https://docs.mybb.com/security/security-advisories/)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.