Platform
php
Component
mybb
Opgelost in
1.8.40
CVE-2025-48940 beschrijft een Local File Inclusion (LFI) kwetsbaarheid in MyBB forum software. Deze kwetsbaarheid stelt aanvallers in staat om lokale bestanden te lezen, wat kan leiden tot gevoelsgegevens blootstelling of verdere exploitatie. De kwetsbaarheid treedt op in de upgrade component van MyBB versies tot en met 1.8.39. Een update naar versie 1.8.39 lost dit probleem op.
Een succesvolle exploitatie van deze LFI kwetsbaarheid stelt een aanvaller in staat om willekeurige bestanden op de server te lezen, zolang de upgrade component toegankelijk is. Dit vereist dat de installatie is ontgrendeld (geen install/lock bestand aanwezig) en de upgrade script toegankelijk is, bijvoorbeeld door de forum opnieuw te installeren of als geauthenticeerde beheerder. De impact kan variëren afhankelijk van de bestanden die de aanvaller kan lezen, maar kan gevoelige configuratiegegevens, broncode of andere kritieke informatie omvatten. Dit kan leiden tot verdere aanvalsmogelijkheden, zoals het uitvoeren van code of het verkrijgen van controle over het systeem.
Deze kwetsbaarheid is openbaar bekend en de details zijn beschikbaar. Er is momenteel geen melding van actieve exploitatie in de wild, maar de relatieve eenvoud van de exploitatie maakt het waarschijnlijk dat dit in de toekomst kan gebeuren. De kwetsbaarheid is opgenomen in het CISA KEV catalogus (KEV status pending). Er zijn publieke proof-of-concept (POC) beschikbaar.
Organizations running MyBB forum software, particularly those using older, unpatched versions (≤ 1.8.39), are at risk. Shared hosting environments where multiple users share the same server instance are also particularly vulnerable, as an attacker could potentially exploit this vulnerability on one user's forum and gain access to other users' data.
• php: Examine web server access logs for requests containing unusual parameters in the install/index.php URL. Look for patterns indicative of file path traversal attempts.
grep 'install/index.php[?&].*' /var/log/apache2/access.log• php: Check for the presence of the install/lock file. Its absence indicates a potential vulnerability.
ls -l /path/to/mybb/install/lock• generic web: Monitor file system integrity for unexpected modifications to sensitive files, particularly those related to MyBB configuration. • generic web: Review MyBB forum administrator accounts for suspicious login activity or unauthorized access attempts.
disclosure
Exploit Status
EPSS
0.14% (34% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2025-48940 is het upgraden van MyBB naar versie 1.8.39 of hoger. Als een directe upgrade niet mogelijk is, zorg er dan voor dat de installatie map is ontgrendeld door het install/lock bestand te verwijderen. Beperk de toegang tot de install/index.php pagina via webserver configuratie (bijvoorbeeld .htaccess) om te voorkomen dat aanvallers de upgrade script kunnen benaderen. Monitor de server logs op verdachte activiteit, zoals pogingen om bestanden buiten de verwachte paden te benaderen.
Actualice MyBB a la versión 1.8.39 o superior. Esta versión corrige la vulnerabilidad de inclusión de archivos locales. Asegúrese de que el archivo `install/lock` esté presente para evitar el acceso no autorizado al instalador.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-48940 is a Local File Inclusion (LFI) vulnerability in MyBB forum software versions 1.8.39 and earlier, allowing attackers to potentially read sensitive files.
You are affected if you are using MyBB version 1.8.39 or earlier. Upgrade to version 1.8.39 to resolve the vulnerability.
Upgrade MyBB to version 1.8.39. Ensure the install/lock file is present and restrict access to the install/index.php script.
As of now, there is no confirmed active exploitation, but the vulnerability is publicly known and could be targeted.
Refer to the official MyBB security advisory for detailed information and updates: [https://docs.mybb.com/security/security-advisories/](https://docs.mybb.com/security/security-advisories/)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.