平台
php
组件
mybb-last-users-threads-in-profile
修复版本
1.2.1
CVE-2018-25250 描述了 MyBB Last User's Threads in Profile Plugin 1.2 版本中发现的跨站脚本攻击 (XSS) 漏洞。该漏洞允许攻击者通过在线程主题中注入恶意脚本来执行代码,从而可能窃取用户数据或执行其他恶意操作。受影响的版本包括 1.2 和 1.2。目前建议用户尽快升级到安全版本或采取缓解措施。
该 XSS 漏洞的潜在影响非常严重。攻击者可以利用该漏洞在受害者的浏览器中执行任意 JavaScript 代码。这可能导致攻击者窃取用户的 Cookie、会话令牌和其他敏感信息。攻击者还可以利用该漏洞重定向用户到恶意网站、篡改网页内容或执行其他恶意操作。由于该漏洞是持久性的,攻击者只需创建包含恶意脚本的线程,当其他用户访问攻击者的个人资料页面时,脚本就会自动执行,造成广泛影响。
该漏洞已公开披露,存在潜在的利用风险。目前尚未观察到大规模的利用活动,但由于该漏洞的易利用性,建议尽快采取缓解措施。该漏洞的公开披露日期为 2026-04-04。
Administrators and users of MyBB forums who have installed the Last User's Threads in Profile Plugin versions 1.2–1.2 are at risk. Shared hosting environments where multiple MyBB instances are hosted on the same server are particularly vulnerable, as a compromise of one instance could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r "<script" /var/www/mybb/plugins/lastusersthreads/• generic web:
curl -I https://your-mybb-site.com/profile.php?uid=1 | grep Content-Typedisclosure
漏洞利用状态
EPSS
0.03% (9% 百分位)
CISA SSVC
CVSS 向量
解决此漏洞的最佳方法是升级到修复后的 MyBB Last User's Threads in Profile Plugin 版本。如果无法立即升级,可以考虑以下缓解措施:首先,实施严格的输入验证,过滤掉线程主题中的所有脚本标签。其次,配置 Web 应用防火墙 (WAF) 以检测和阻止包含恶意脚本的请求。最后,定期审查个人资料页面上的所有线程,删除任何可疑的线程。
Actualice el plugin MyBB Last User's Threads in Profile a la última versión disponible, ya que la versión 1.2 es vulnerable. Verifique la página de descargas del plugin o el foro de MyBB para obtener la versión actualizada. Desactive el plugin si no es esencial hasta que se publique una actualización.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2018-25250 是 MyBB Last User's Threads in Profile Plugin 1.2 版本中发现的跨站脚本攻击 (XSS) 漏洞,攻击者可以通过线程主题注入恶意脚本。
如果您正在使用 MyBB Last User's Threads in Profile Plugin 的 1.2 版本,则可能受到此漏洞的影响。请立即检查并升级。
建议升级到修复后的 MyBB Last User's Threads in Profile Plugin 版本。如果无法升级,请实施输入验证和 WAF 规则。
虽然目前尚未观察到大规模利用,但由于漏洞的易利用性,存在潜在的利用风险。
请访问 MyBB 官方网站或安全公告页面,搜索 CVE-2018-25250 以获取更多信息。