MyBB Admin Notes Plugin 1.1-跨站请求伪造

漏洞描述

MyBB是国际上非常优秀的免费论坛软件,最大的特色是简单但是功能却出奇的强大。MyBB一般的功能都有有以下几方面:1.无限数量的会员, 版块, 帖子, 主题。2.MySQL Fulltext 全文搜索 (MySQL 4.1+)。3.多个副本共用一个数据库。4.使用我们的直观的模板和主题系统可以完全的个性化。5.如果你愿意, 你可以安装一大堆不同的语言包在你的论坛。6.使用PHP语言开发, 兼容 MySQL, PgSQL, 和 SQLite v2 和 v3 数据库服务器。MyBB Latest Posts On Profile是MyBB的一个插件,此插件可以用来在用户的个人资料中显示用户的最新帖子。

Admin Notes允许管理员保存笔记并将其显示在ACP的列表中。 CSRF允许攻击者远程删除所有管理笔记。

解决方案

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

https://community.mybb.com/mods.php?action=view&pid=1106