HIGHCVE-2018-25248CVSS 7.2

MyBB Downloads Plugin 2.0.3 downloads.php を介した永続的な XSS

プラットフォーム

php

コンポーネント

mybb-downloads

修正版

2.0.4

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2018-25248は、MyBB Downloads Plugin 2.0.3–2.0.3に存在するクロスサイトスクリプティング(XSS)脆弱性です。この脆弱性を悪用されると、攻撃者は悪意のあるスクリプトを注入し、管理者権限を悪用する可能性があります。影響を受けるバージョンは2.0.3–2.0.3で、2.0.4へのアップデートで修正されています。

影響と攻撃シナリオ

このXSS脆弱性は、攻撃者がMyBB Downloads Pluginを通じて悪意のあるJavaScriptコードを注入することを可能にします。攻撃者は、ダウンロードタイトルフィールドにHTML/JavaScriptコードを埋め込み、管理者がダウンロードを検証する際にコードが実行されるように仕向けます。これにより、攻撃者は管理者のセッションを乗っ取ったり、ユーザーを悪意のあるウェブサイトにリダイレクトしたり、ウェブサイトのコンテンツを改ざんしたりする可能性があります。この脆弱性は、MyBBフォーラムのセキュリティ全体に影響を及ぼし、機密情報の漏洩や不正な操作につながる可能性があります。

悪用の状況

CVE-2018-25248は、2026年4月4日に公開されました。現時点では、この脆弱性を悪用した具体的な攻撃事例は確認されていませんが、XSS脆弱性は一般的に悪用される可能性が高いため、迅速な対応が必要です。公開されているPoC（Proof of Concept）コードは確認されていませんが、XSS攻撃は比較的容易に実行できるため、注意が必要です。

リスク対象者翻訳中…

MyBB forum administrators are at the highest risk, as they are the ones who validate downloads and are therefore exposed to the malicious script execution. Regular forum members are also at risk if they click on a malicious download link, although the impact is generally limited to their own browser session.

検出手順翻訳中…

• php: Examine the downloads.php file for instances where the download title is echoed without proper sanitization. Search for patterns like <script> or javascript: within the title parameter in access logs.

grep -r 'javascript:' /path/to/mybb/downloads.php

• generic web: Monitor access logs for requests to downloads.php with unusual or lengthy title parameters. Check response headers for signs of script execution.

curl -I https://example.com/downloads.php?title=<script>alert('XSS')</script>

攻撃タイムライン

2026-04-04Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート1 脅威レポート

EPSS

0.03% (8% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能no

技術的影響

影響を受けるソフトウェア

コンポーネントmybb-downloads

ベンダーMyBB

影響範囲修正版

2.0.3 – 2.0.32.0.4

弱点分類 (CWE)

CWE-79

タイムライン

予約済み2026-04-04
公開日2026-04-04
更新日2026-04-06
EPSS 更新日2026-04-12

緩和策と回避策

この脆弱性への最善の対応は、MyBB Downloads Pluginをバージョン2.0.4にアップデートすることです。アップデートがすぐに利用できない場合、管理者はダウンロードの承認プロセスを厳格化し、ダウンロードタイトルフィールドにHTMLコードが含まれていないか注意深く確認する必要があります。また、WAF（Web Application Firewall）を導入し、XSS攻撃を検知・防御するルールを設定することも有効です。特定のIOC（Indicators of Compromise）を監視し、不審なアクティビティを検出することも重要です。アップデート後、プラグインの動作を検証し、問題がないことを確認してください。

修正方法翻訳中…

Actualice el plugin MyBB Downloads a la versión 2.0.4 o posterior para mitigar la vulnerabilidad XSS. Esta actualización corrige la forma en que se manejan los títulos de descarga, evitando la inyección de código malicioso.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2018-25248 — XSS in MyBB Downloads Pluginとは何ですか？

CVE-2018-25248は、MyBB Downloads Plugin 2.0.3–2.0.3に存在するクロスサイトスクリプティング(XSS)脆弱性です。攻撃者はダウンロードタイトルフィールドを介して悪意のあるスクリプトを注入できます。

CVE-2018-25248 in MyBB Downloads Pluginで影響を受けますか？

MyBB Downloads Pluginのバージョンが2.0.3–2.0.3を使用している場合、影響を受けます。2.0.4へのアップデートが必要です。

CVE-2018-25248 in MyBB Downloads Pluginを修正するにはどうすればよいですか？

MyBB Downloads Pluginをバージョン2.0.4にアップデートしてください。アップデートがすぐに利用できない場合は、ダウンロード承認プロセスを厳格化し、WAFを導入することを検討してください。

CVE-2018-25248は積極的に悪用されていますか？

現時点では、この脆弱性を悪用した具体的な攻撃事例は確認されていませんが、XSS脆弱性は一般的に悪用される可能性が高いため、注意が必要です。

CVE-2018-25248のMyBB公式アドバイザリはどこで入手できますか？

MyBBの公式ウェブサイトまたはセキュリティアドバイザリページで、CVE-2018-25248に関する情報を確認してください。