CVE-2018-25249 CVSS 6.4 中危

CVE-2018-25249 MyBB My Arcade Plugin存储型XSS漏洞

披露日期: 2026-04-04

来源: [email protected]

漏洞信息

漏洞编号

CVE-2018-25249

漏洞类型

存储型跨站脚本

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

MyBB My Arcade Plugin

漏洞概述

MyBB My Arcade Plugin 1.3版本存在一个存储型跨站脚本（XSS）漏洞。由于该插件在处理街机游戏分数评论时未能正确过滤用户输入，经过身份认证的攻击者可以在评论字段中注入恶意的HTML和JavaScript代码。当其他用户（包括管理员）查看或编辑这些评论时，恶意脚本将在其浏览器中执行，从而导致账户劫持、会话窃取或其他恶意操作。

技术细节

该漏洞属于存储型跨站脚本（Stored XSS）。MyBB My Arcade Plugin 1.3版本在处理用户通过街机游戏模块提交的分数评论时，后端代码缺乏对用户输入数据的严格校验与过滤机制。具体而言，应用程序未对HTML标签及JavaScript关键字进行转义处理。攻击者利用低权限账户登录论坛后，可以在提交游戏分数的“评论”字段中构造并发送恶意Payload（例如 <img src=x onerror=alert(1)>）。服务器将接收到的恶意数据直接存储在数据库中。随后，当管理员或其他授权用户访问包含该评论的页面（如查看排行榜或编辑评论）时，后端会从数据库读取数据并呈现给前端。浏览器解析该响应时，会执行攻击者注入的脚本代码。由于攻击者可以窃取管理员的Session ID，进而提升权限控制整个论坛系统，因此该漏洞具有较大的安全风险。

攻击链分析

STEP 1

1. 获取访问权限

攻击者注册并获取MyBB论坛的低权限用户账户。

STEP 2

2. 定位注入点

攻击者访问论坛的Arcade插件区域，找到可以提交游戏分数和评论的接口。

STEP 3

3. 注入恶意载荷

攻击者在提交分数时，在评论字段中输入包含JavaScript代码的恶意Payload。

STEP 4

4. 数据存储

服务器接收请求，由于缺乏过滤，将恶意代码原样存储在数据库中。

STEP 5

5. 触发漏洞

当管理员或其他用户浏览包含该评论的页面时，恶意脚本在受害者浏览器中被解析执行。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- Place this payload in the 'Comment' field when submitting a game score -->
<script>alert('XSS');</script>

<!-- Alternatively, use an image tag to bypass some filters -->
<img src=x onerror=alert(document.cookie)>

影响范围

MyBB My Arcade Plugin 1.3

防御指南

临时缓解措施

建议管理员暂时禁用My Arcade Plugin中的评论功能，以防止恶意脚本传播。同时，应检查数据库中已存在的评论记录，清理可能包含的恶意代码，并提醒所有管理员不要轻易点击来源不明的链接或查看异常的游戏评论。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表