Wersja MyBB 1.6.4 została rozpowszechniona z nieautoryzowanym backdoorem wbudowanym w kod źródłowy podczas procesu pakowania. Podatność umożliwia zdalnemu atakującemu wykonanie dowolnego kodu PHP bez jakiejkolwiek autoryzacji, co prowadzi do pełnego przejęcia serwera WWW.
▸ Pokaż oryginał (EN)
myBB version 1.6.4 was distributed with an unauthorized backdoor embedded in the source code. The backdoor allowed remote attackers to execute arbitrary PHP code by injecting payloads into a specially crafted collapsed cookie. This vulnerability was introduced during packaging and was not part of the intended application logic. Exploitation requires no authentication and results in full compromise of the web server under the context of the web application.
Backdoor został wprowadzony do paczki dystrybucyjnej MyBB 1.6.4 na etapie pakowania — nie był częścią oryginalnej logiki aplikacji. Atakujący może wykonać dowolny kod PHP poprzez wstrzyknięcie odpowiednio spreparowanego payloadu do specjalnie skonstruowanego nagłówka cookie o nazwie 'collapsed'. Exploit nie wymaga uwierzytelnienia ani żadnej interakcji ze strony użytkownika, a wykonanie kodu odbywa się w kontekście uprawnień aplikacji webowej na serwerze.
Atakujący uzyskuje możliwość wykonania dowolnego kodu PHP na serwerze, co skutkuje pełnym przejęciem kontroli nad serwerem WWW, włącznie z dostępem do danych aplikacji, bazy danych oraz możliwością dalszego lateral movement w infrastrukturze.
Należy natychmiast zaktualizować MyBB do wersji wyższej niż 1.6.4 lub zastosować patche wskazane przez producenta w oficjalnym komunikacie bezpieczeństwa (blog.mybb.com). Wszystkie instalacje oparte na wersji 1.6.4 należy traktować jako w pełni skompromitowane i przeprowadzić audyt bezpieczeństwa serwera.
MyBB w wersji 1.6.4 — wyłącznie ta wersja była rozpowszechniana z osadzonym backdoorem
Backdoor został wprowadzony na etapie pakowania dystrybucji, a nie w ramach normalnego procesu deweloperskiego (CWE-912: Hidden Functionality). Publicznie dostępny moduł exploit w frameworku Metasploit (rapid7/metasploit-framework) oraz wpis w Exploit-DB (ID 17949) potwierdzają istnienie gotowego narzędzia do wykorzystania tej podatności. CVE zostało opublikowane 2025-08-13 jako formalne przypisanie do incydentu z 2011 roku.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XMybb
APPMybb1.6.4
Powiązane podatności
Installer RCE on settings file write in MyBB before 1.8.22.
The installer in MyBB before 1.8.13 allows remote attackers to execute arbitrary code by writing to the config...
MyBB (aka MyBulletinBoard) before 1.8.7 and MyBB Merge System before 1.8.7 allow attackers to have unspecified...
SQL injection vulnerability in the Group Promotions module in the admin control panel in MyBB (aka MyBulletinB...
SQL injection vulnerability in the moderation tool in MyBB (aka MyBulletinBoard) before 1.8.7 and MyBB Merge S...