HIGHCVE-2025-48940CVSS 7.2

MyBB 的升级组件存在本地文件包含漏洞

Q: 什么是CVE-2025-48940 — 本地文件包含漏洞在MyBB论坛软件中？

CVE-2025-48940描述了MyBB论坛软件升级组件中的一个本地文件包含（LFI）漏洞，攻击者可以通过未经验证的用户输入包含任意文件。

Q: 我是否受到CVE-2025-48940在MyBB论坛软件中的影响？

如果您运行的是MyBB版本小于或等于1.8.39，则可能受到此漏洞的影响。

Q: 我如何修复CVE-2025-48940在MyBB论坛软件中的漏洞？

建议立即将MyBB论坛软件升级到1.8.39版本或更高版本。

Q: CVE-2025-48940是否正在被积极利用？

目前尚未确认该漏洞正在被积极利用，但由于LFI漏洞的普遍性，预计未来可能会出现公开的PoC。

Q: 在哪里可以找到MyBB官方针对CVE-2025-48940的安全公告？

请访问MyBB官方网站或安全公告页面，查找有关CVE-2025-48940的最新信息。

平台

php

组件

mybb

修复版本

1.8.40

AI Confidence: highNVDEPSS 0.1%已审阅: 2026年5月

在NVD查看

保存

CVE-2025-48940描述了MyBB论坛软件升级组件中的一个本地文件包含（LFI）漏洞。该漏洞允许攻击者通过未经验证的用户输入包含任意文件，可能导致敏感信息泄露。该漏洞影响MyBB版本小于或等于1.8.39的安装。通过升级到1.8.39版本可以有效解决此安全问题。

影响与攻击场景

攻击者可以利用此LFI漏洞读取服务器上的任意文件，包括配置文件、源代码以及其他敏感数据。如果攻击者能够访问论坛管理员账户或在安装过程中绕过安装锁定机制（install/lock文件缺失），则更容易利用此漏洞。成功利用此漏洞可能导致信息泄露、代码执行甚至系统控制，具体取决于包含的文件内容。虽然该漏洞需要攻击者能够访问升级脚本，但如果论坛未完全安装或管理员账户被攻破，则攻击风险较高。

利用背景

目前尚未公开该漏洞的详细利用方案，但由于LFI漏洞的普遍性，预计未来可能会出现公开的PoC。该漏洞已于2025年6月2日公开，目前尚未被CISA添加到KEV目录中。建议密切关注安全社区的动态，及时了解最新的漏洞信息和利用情况。

哪些人处于风险中翻译中…

Organizations running MyBB forum software, particularly those using older, unpatched versions (≤ 1.8.39), are at risk. Shared hosting environments where multiple users share the same server instance are also particularly vulnerable, as an attacker could potentially exploit this vulnerability on one user's forum and gain access to other users' data.

检测步骤翻译中…

• php: Examine web server access logs for requests containing unusual parameters in the install/index.php URL. Look for patterns indicative of file path traversal attempts.

grep 'install/index.php[?&].*' /var/log/apache2/access.log

• php: Check for the presence of the install/lock file. Its absence indicates a potential vulnerability.

ls -l /path/to/mybb/install/lock

• generic web: Monitor file system integrity for unexpected modifications to sensitive files, particularly those related to MyBB configuration. • generic web: Review MyBB forum administrator accounts for suspicious login activity or unauthorized access attempts.

攻击时间线

2025-06-02Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

报告1 份威胁报告

EPSS

0.14% (34% 百分位)

CISA SSVC

利用情况none

可自动化no

技术影响partial

受影响的软件

组件mybb

供应商mybb

影响范围修复版本

< 1.8.39 – < 1.8.391.8.40

弱点分类 (CWE)

CWE-22

时间线

已保留2025-05-28
发布日期2025-06-02
EPSS 更新日期2026-03-23

缓解措施和替代方案

最有效的缓解措施是立即将MyBB论坛软件升级到1.8.39版本或更高版本。如果升级过程出现问题，可以考虑回滚到之前的稳定版本，但请注意这只是临时解决方案。此外，确保install/lock文件存在，以防止未经授权的升级尝试。如果无法立即升级，可以考虑使用Web应用防火墙（WAF）或反向代理来过滤恶意请求，阻止包含恶意参数的升级脚本访问。监控论坛的访问日志，查找可疑的URL模式，例如包含特殊字符或路径遍历的请求。

修复方法翻译中…

Actualice MyBB a la versión 1.8.39 o superior. Esta versión corrige la vulnerabilidad de inclusión de archivos locales. Asegúrese de que el archivo `install/lock` esté presente para evitar el acceso no autorizado al instalador.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是CVE-2025-48940 — 本地文件包含漏洞在MyBB论坛软件中？