10秒后自動關(guān)閉
MyBB論壇最新跨站腳本漏洞(CNVD-2024-46255、CVE-2024-52702)

MyBB是一款免費(fèi)、開源,在國際上非常優(yōu)秀的免費(fèi)論壇軟件。該論壇最大的特色是簡單但是功能卻出奇的強(qiáng)大,并且支持多國語言(中文版、英文版等等)。


國家信息安全漏洞共享平臺于2024-11-27公布該程序存在跨站腳本漏洞。

漏洞編號:CNVD-2024-46255、CVE-2024-52702

影響產(chǎn)品:MyBB v1.8.38

漏洞級別

公布時間:2024-11-27

漏洞描述:該漏洞位于文件 install\index.php 中,對 websitename 參數(shù)過濾不充分導(dǎo)致。攻擊者可以利用該漏洞,通過修改websitename的值來執(zhí)行任意Web腳本或HTML代碼,以獲取敏感信息或劫持用戶會話。


解決辦法:

這其實(shí)都不算漏洞,論壇一經(jīng)安裝后,就不會再訪問安裝頁面( install\index.php ),因此我們只需要刪除install目錄即可。

同時也可以使用『護(hù)衛(wèi)神·防入侵系統(tǒng)』的SQL注入防護(hù)模塊來解決該漏洞問題,該模塊除了防SQL注入,還可以防跨站腳本漏洞。不止對該漏洞有效,對網(wǎng)站所有SQL注入和跨腳本漏洞都可以防護(hù)。



1、SQL注入防護(hù)和XSS跨站攻擊防護(hù)

護(hù)衛(wèi)神·防入侵系統(tǒng)』自帶的SQL注入防護(hù)模塊(如圖一)除了攔截SQL注入,還可以攔截xss跨站腳本,一并解決MyBB論壇的其他安全漏洞,攔截效果如圖四。


SQL注入防護(hù)模塊

(圖一:SQL注入防護(hù)模塊)



xss攻擊防護(hù)

(圖二:XSS跨站腳本攻擊防護(hù))



SQL注入攔截效果

(圖三:SQL注入攔截效果)



2、防篡改保護(hù)

如果對安全要求較高,還可以使用『護(hù)衛(wèi)神·防入侵系統(tǒng)』系統(tǒng)的“篡改防護(hù)”模塊,對MyBB論壇做防篡改保護(hù)。

在“篡改防護(hù)-添加CMS防護(hù)”(如圖五)。選擇網(wǎng)站目錄,安全模板選擇“MyBB論壇安全模板”,并填寫正確的后臺地址,點(diǎn)擊“確定”按鈕,就添加好了。

護(hù)衛(wèi)神.防入侵系統(tǒng)內(nèi)置有MyBB論壇的篡改防護(hù)規(guī)則,只需簡單設(shè)置即可解決,非常方便!

添加MyBB論壇防篡改規(guī)則

(圖五:添加MyBB論壇防篡改規(guī)則)



設(shè)置好以后,防入侵系統(tǒng)就會對后臺進(jìn)行保護(hù),后期訪問時需要先驗證授權(quán)密碼(如圖六),只有輸入了正確的密碼才能訪問。

網(wǎng)站后臺保護(hù)

(圖六:訪問后臺需要輸入授權(quán)密碼)