MyBB Latest Posts On Profile 1.1 - 跨站脚本漏洞

漏洞描述

    MyBB是国际上非常优秀的免费论坛软件,最大的特色是简单但是功能却出奇的强大。MyBB一般的功能都有有以下几方面:1.无限数量的会员, 版块, 帖子, 主题。2.MySQL Fulltext 全文搜索 (MySQL 4.1+)。3.多个副本共用一个数据库。4.使用我们的直观的模板和主题系统可以完全的个性化。5.如果你愿意, 你可以安装一大堆不同的语言包在你的论坛。6.使用PHP语言开发, 兼容 MySQL, PgSQL, 和 SQLite v2 和 v3 数据库服务器。MyBB Latest Posts On Profile是MyBB的一个插件,此插件可以用来在用户的个人资料中显示用户的最新帖子。

    此插件的跨站脚本漏洞利用很简单,即在用户新建一篇文章的过程中,文章的主题中注入XSS代码,当用户访问自己个人资料时,XSS代码就会被执行。

解决方案

2.购买深信服下一代防火墙的用户,可以开启WAF防御模块,可轻松防御此类XSS漏洞。