漏洞标题
N/A
漏洞描述信息
在MyBulletinBoard(MyBB)1.1.2版本中的 domecode 函数,以及可能存在的其他版本,允许远程攻击者通过用户名字段执行任意的PHP代码,该函数在 preg_replace 函数调用中使用 /e (可执行) 修饰符。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
The domecode function in inc/functions_post.php in MyBulletinBoard (MyBB) 1.1.2, and possibly other versions, allows remote attackers to execute arbitrary PHP code via the username field, which is used in a preg_replace function call with a /e (executable) modifier.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
MyBB functions_post.php文件 domecode 任意代码执行漏洞
漏洞描述信息
MyBB是一款流行的Web论坛程序。 MyBB对注册用户名的处理存在问题,远程攻击者可能利用此漏洞在服务器上执行任意命令。 在注册的时候MyBB没有正确过滤对用户名字段的输入便在inc/functions_post.php文件domecode()函数的preg_replace调用中以"/e"修饰符使用了这些输入。攻击者可能以特制的用户名注册,然后预览包含有"/slap"字符串的贴子,导致执行任意PHP代码。
CVSS信息
N/A
漏洞类别
授权问题