CVE-2018-25309MyBB Recent threads 17.0插件中存在一处严重的存储型跨站脚本漏洞。该漏洞源于插件在处理新线程主题时未能正确过滤用户输入,允许攻击者在无需认证的情况下注入恶意HTML/JavaScript代码。一旦攻击者发布带有恶意载荷的线程,该脚本将被持久存储。所有访问论坛首页并查看到该恶意线程标题的用户都会触发代码执行,导致会话劫持或敏感信息泄露等风险。
该漏洞属于典型的存储型跨站脚本攻击(Stored XSS)。MyBB是一款流行的论坛系统,而Recent threads插件用于在首页展示最新讨论。在版本17.0中,插件在渲染线程标题时,未对用户提交的数据进行严格的上下文感知转义,直接将数据库中的标题内容输出到HTML响应中。攻击者通过构造包含恶意JavaScript代码的线程标题(如`<script>alert(1)</script>`)发布新主题,该载荷会被持久化存储。由于漏洞特性,无需受害者进行任何交互(UI:N),只要受害者访问包含恶意线程链接的首页,浏览器就会解析并执行这段恶意代码。攻击者可借此窃取管理员的Session ID,进而完全控制论坛后台。CVSS向量中的S:C(Scope Changed)表明此漏洞可影响组件之外的安全范围,进一步放大了其危害程度。