MyBB Laatste Threads van Gebruiker in Profiel Plugin 1.2 Persistent XSS

Een succesvolle exploitatie van deze XSS-kwetsbaarheid kan leiden tot het stelen van cookies, het omleiden van gebruikers naar kwaadaardige websites en het uitvoeren van acties namens de gebruiker. De aanvaller kan de profielpagina van een gebruiker compromitteren en kwaadaardige scripts injecteren die worden uitgevoerd wanneer andere gebruikers de pagina bezoeken. Dit kan leiden tot een breed bereik van aanvallen, waaronder phishing, malware-distributie en accountovername. De impact is aanzienlijk, aangezien de kwetsbaarheid persistent is en geen directe gebruikersinteractie vereist om te worden geactiveerd.

Administrators and users of MyBB forums who have installed the Last User's Threads in Profile Plugin versions 1.2–1.2 are at risk. Shared hosting environments where multiple MyBB instances are hosted on the same server are particularly vulnerable, as a compromise of one instance could potentially lead to the compromise of others.

• wordpress / composer / npm:

grep -r "<script" /var/www/mybb/plugins/lastusersthreads/

• generic web:

curl -I https://your-mybb-site.com/profile.php?uid=1 | grep Content-Type

1. 2026-04-04Disclosure

   disclosure

1. Gereserveerd2026-04-04
2. Gepubliceerd2026-04-04
3. Gewijzigd2026-04-06
4. EPSS bijgewerkt2026-04-12

Omdat er geen specifieke beveiligde versie is vermeld, is het essentieel om de plugin onmiddellijk te verwijderen of te vervangen door een veilige variant. Als verwijdering niet mogelijk is, kan het beperken van de invoerlengte en het valideren van alle gebruikersinvoer helpen om de impact te verminderen. Implementeer een Web Application Firewall (WAF) met regels om scripttags in thread-onderwerpen te blokkeren. Controleer regelmatig de MyBB-forums op updates en beveiligingspatches.