プラットフォーム
php
コンポーネント
mybb
修正版
1.8.40
CVE-2025-48940は、MyBBフォーラムソフトウェアのアップグレードコンポーネントに存在するローカルファイルインクルージョン(LFI)脆弱性です。この脆弱性を悪用すると、攻撃者はシステム内の機密ファイルにアクセスできる可能性があります。影響を受けるバージョンは1.8.39以前であり、MyBB 1.8.39へのアップデートでこの問題が修正されています。
このLFI脆弱性は、攻撃者がMyBBフォーラムのインストールディレクトリにアクセスできる場合に悪用されます。具体的には、インストーラがロック解除されており(install/lockファイルが存在しない)、アップグレードスクリプト(install/index.phpへのアクセス、または管理者権限での認証)にアクセスできる必要があります。成功した場合、攻撃者はサーバー上の任意のファイル(設定ファイル、ソースコードなど)を読み取ることができ、機密情報の漏洩や、さらなる攻撃への足がかりを得る可能性があります。この脆弱性は、MyBBのセキュリティを著しく損ない、システム全体の信頼性を脅かす可能性があります。
この脆弱性は、MyBBのインストーラが適切に保護されていない場合に悪用される可能性があります。現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、LFI脆弱性は一般的に悪用が容易であり、注意が必要です。2025年6月2日に公開されたCVEエントリは、この脆弱性の存在を広く認知させ、攻撃者による悪用を促す可能性があります。
Organizations running MyBB forum software, particularly those using older, unpatched versions (≤ 1.8.39), are at risk. Shared hosting environments where multiple users share the same server instance are also particularly vulnerable, as an attacker could potentially exploit this vulnerability on one user's forum and gain access to other users' data.
• php: Examine web server access logs for requests containing unusual parameters in the install/index.php URL. Look for patterns indicative of file path traversal attempts.
grep 'install/index.php[?&].*' /var/log/apache2/access.log• php: Check for the presence of the install/lock file. Its absence indicates a potential vulnerability.
ls -l /path/to/mybb/install/lock• generic web: Monitor file system integrity for unexpected modifications to sensitive files, particularly those related to MyBB configuration. • generic web: Review MyBB forum administrator accounts for suspicious login activity or unauthorized access attempts.
disclosure
エクスプロイト状況
EPSS
0.14% (34% パーセンタイル)
CISA SSVC
この脆弱性への最善の対応は、MyBBをバージョン1.8.39にアップデートすることです。アップデートが利用できない場合、または互換性の問題が発生する場合は、install/index.phpへのアクセスを制限するWebアプリケーションファイアウォール(WAF)ルールを実装することを検討してください。また、install/lockファイルが存在しない場合は、作成してインストーラへの不正アクセスを防ぐことも有効です。アップデート後、MyBBのバージョンを確認し、脆弱性が修正されていることを確認してください。
Actualice MyBB a la versión 1.8.39 o superior. Esta versión corrige la vulnerabilidad de inclusión de archivos locales. Asegúrese de que el archivo `install/lock` esté presente para evitar el acceso no autorizado al instalador.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2025-48940は、MyBBフォーラムソフトウェアのアップグレードコンポーネントにおけるローカルファイルインクルージョン(LFI)脆弱性です。攻撃者は、特定の条件下でシステム内の機密ファイルにアクセスできる可能性があります。
MyBBフォーラムソフトウェアのバージョン1.8.39以前を使用している場合は、影響を受ける可能性があります。攻撃者がLFIを悪用し、機密情報を盗み出す可能性があります。
MyBBをバージョン1.8.39にアップデートしてください。アップデートができない場合は、WAFルールでinstall/index.phpへのアクセスを制限することを検討してください。
現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、LFI脆弱性は一般的に悪用が容易であり、注意が必要です。
MyBBの公式ウェブサイトまたはセキュリティアドバイザリページで、CVE-2025-48940に関する情報を確認してください。
CVSS ベクトル