MyBB 跨站请求伪造漏洞

漏洞信息详情

MyBB 跨站请求伪造漏洞

• CNNVD编号：CNNVD-201111-452
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2011-5131
  
• 漏洞类型：
  
  
  跨站请求伪造
  
• 发布时间：
  
  1900-01-01
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2012-08-31
  
• 厂        商：
  
  mybb
• 漏洞来源：
  labrocca, Will G, …

MyBB（又名MyBulletinBoard）是MyBB团队开发的一套用PHP和MySQL开发的免费且基于Web的论坛软件。该软件具有简单易用、支持多国语言、可扩展等特点。

MyBB 1.6.5之前版本中的global.php中存在跨站请求伪造(CSRF)漏洞。远程攻击者可利用该漏洞通过‘language’参数劫持已认证用户更改用户语言的请求。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://blog.mybb.com/2011/11/25/mybb-1-6-5-released-feature-update-security-maintenance-release/

来源: XF

名称: mybb-language-setting-csrf(71462)

链接:http://xforce.iss.net/xforce/xfdb/71462

来源: BID

名称: 50816

链接:http://www.securityfocus.com/bid/50816

来源: OSVDB

名称: 77327

链接:http://www.osvdb.org/77327

来源: SECUNIA

名称: 46951

链接:http://secunia.com/advisories/46951

来源: dev.mybb.com

链接:http://dev.mybb.com/issues/1729

来源: blog.mybb.com

链接:http://blog.mybb.com/2011/11/25/mybb-1-6-5-released-feature-update-security-maintenance-release/