MyBB 开发人员解释称,“最近修复的弱点减少的事实表明,具有通用配置、运行版本1.8.20或更旧版本的 MyBB 论坛可通过和毫无察觉的管理员的最小交互、利用 XSS 和代码注入弱点进行利用。另外,运行 1.8.18 或更早版本的论坛可在无需交互的情况下遭攻击,方法是攻击者将账户权限提升为管理员用户群组权限,尤其是在签名过程中出现致命的 SQL 注入漏洞的情况下更是如此。这些高峰暴露点强调了尽快实时更新 MyBB 论坛(如避免核心组件修改而采用插件挂钩)并执行实际升级的重要性。”
MyBB 认为即将发布的 1.9 版本中所做的修改以及web 浏览器中的安全性能提升将减少未来的漏洞数量。
推荐阅读
络安全联盟发布首个开源的安全工具通讯框架
奇安信开源组件安全治理解决方案——开源卫士
原文链接
https://www.securityweek.com/zyxel-patches-zero-day-vulnerability-network-storage-products
题图:Pixabay License
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
点个“在看”,bounty 不停~
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!