प्लेटफ़ॉर्म
php
घटक
mybb-downloads
में ठीक किया गया
2.0.4
CVE-2018-25248 MyBB Downloads Plugin में एक क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है। यह भेद्यता हमलावरों को डाउनलोड शीर्षक फ़ील्ड के माध्यम से दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करने की अनुमति देती है, जिससे संभावित रूप से नियमित सदस्यों को प्रभावित किया जा सकता है। यह भेद्यता MyBB Downloads Plugin के संस्करण 2.0.3–2.0.3 को प्रभावित करती है। इस समस्या को 2.0.4 संस्करण में ठीक कर दिया गया है।
इस XSS भेद्यता का शोषण करने वाला एक हमलावर डाउनलोड शीर्षक फ़ील्ड में दुर्भावनापूर्ण HTML या JavaScript कोड इंजेक्ट कर सकता है। जब व्यवस्थापक downloads.php में डाउनलोड को मान्य करते हैं, तो यह कोड निष्पादित हो जाएगा। इससे हमलावर उपयोगकर्ता के ब्राउज़र में स्क्रिप्ट इंजेक्ट कर सकता है, जो उन्हें सत्र कुकीज़ चुराने, उपयोगकर्ता को दुर्भावनापूर्ण वेबसाइटों पर रीडायरेक्ट करने या अन्य दुर्भावनापूर्ण क्रियाएं करने की अनुमति दे सकता है। यह भेद्यता विशेष रूप से चिंताजनक है क्योंकि यह नियमित सदस्यों को भी शोषण करने की अनुमति देती है, जिससे संभावित रूप से व्यापक प्रभाव पड़ता है। इस तरह के XSS हमलों का उपयोग फ़िशिंग हमलों को लॉन्च करने, संवेदनशील जानकारी चुराने या वेबसाइट की अखंडता से समझौता करने के लिए किया जा सकता है।
CVE-2018-25248 को अभी तक व्यापक रूप से शोषण करने के लिए नहीं जाना जाता है, लेकिन XSS भेद्यताएँ आम तौर पर शोषण के लिए आकर्षक लक्ष्य होती हैं। इस CVE को KEV में शामिल नहीं किया गया है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) मौजूद हो सकते हैं, लेकिन सक्रिय अभियान की कोई रिपोर्ट नहीं है। इस भेद्यता के बारे में जानकारी 2026-04-04 को प्रकाशित की गई थी।
MyBB forum administrators are at the highest risk, as they are the ones who validate downloads and are therefore exposed to the malicious script execution. Regular forum members are also at risk if they click on a malicious download link, although the impact is generally limited to their own browser session.
• php: Examine the downloads.php file for instances where the download title is echoed without proper sanitization. Search for patterns like <script> or javascript: within the title parameter in access logs.
grep -r 'javascript:' /path/to/mybb/downloads.php• generic web: Monitor access logs for requests to downloads.php with unusual or lengthy title parameters. Check response headers for signs of script execution.
curl -I https://example.com/downloads.php?title=<script>alert('XSS')</script>disclosure
एक्सप्लॉइट स्थिति
EPSS
0.03% (8% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2018-25248 को कम करने के लिए, MyBB Downloads Plugin को तुरंत संस्करण 2.0.4 में अपडेट करना महत्वपूर्ण है। यदि तत्काल अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, डाउनलोड शीर्षक फ़ील्ड में उपयोगकर्ता इनपुट को मान्य और सैनिटाइज करने के लिए वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी नियमों को लागू किया जा सकता है। यह इनपुट को फ़िल्टर करने और दुर्भावनापूर्ण कोड को निष्पादित होने से रोकने में मदद कर सकता है। इसके अतिरिक्त, नियमित सदस्यों को डाउनलोड शीर्षक फ़ील्ड में HTML या JavaScript कोड दर्ज करने से रोकने के लिए MyBB कॉन्फ़िगरेशन को समायोजित किया जा सकता है। अपग्रेड के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, डाउनलोड शीर्षक फ़ील्ड में दुर्भावनापूर्ण कोड इंजेक्ट करने का प्रयास करके सत्यापित करें।
Actualice el plugin MyBB Downloads a la versión 2.0.4 o posterior para mitigar la vulnerabilidad XSS. Esta actualización corrige la forma en que se manejan los títulos de descarga, evitando la inyección de código malicioso.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2018-25248 MyBB Downloads Plugin में एक क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है जो हमलावरों को दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करने की अनुमति देती है।
यदि आप MyBB Downloads Plugin के संस्करण 2.0.3–2.0.3 का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
CVE-2018-25248 को ठीक करने के लिए, MyBB Downloads Plugin को संस्करण 2.0.4 में अपडेट करें।
CVE-2018-25248 को अभी तक व्यापक रूप से शोषण करने के लिए नहीं जाना जाता है, लेकिन XSS भेद्यताएँ आम तौर पर शोषण के लिए आकर्षक लक्ष्य होती हैं।
कृपया MyBB वेबसाइट पर आधिकारिक सलाहकार देखें: [MyBB Security Advisories](https://community.mybb.com/mods.php?action=viewinfo&modid=497)
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।