Mybb Cms (create forum Page) Cross-Site Script Vulnerability

[IrIsT]

سلام و درود.
امروز دیگه چسبیدم به باگ ها.خواستن توانستنه.کم کم دارم همرو پابلیک میکنم.این باگ هم برای mybb می باشد که باید با یوزر ادمین وارد شین.این مشکل امنیتی,فقط با وارد شدن در کنترل پنل می باشد و توضیحات تکمیلی و نحوه عملکرد,داخل اکسپلوین توضیح داده شده :

کد:

#################################

#
#     @@@    @@@@@@@@@@@    @@@@@           @@@@@@@@@@            @@@  @@@@@@@
#     @@@    @@@@@@@@@@@    @@@  @@         @@@     @@            @@@  @@@@@@@@  
#     @@@    @@@            @@@    @@       @@@       @@          @@@  @@@  @@@  
#     @@@    @@@            @@@      @@     @@@     @@            @@@  @@@  @@@  
#     @@@    @@@@@@@@@@@    @@@       @     @@@@@@@@@@            @@@  @@@@@@
#     @@@    @@@@@@@@@@@    @@@     @@      @@@     @@            @@@  @@@@@@
#     @@@    @@@            @@@   @@        @@@       @@   @@@    @@@  @@@ @@@
#     @@@    @@@            @@@ @@          @@@     @@     @@@    @@@  @@@  @@@
#     @@@    @@@@@@@@@@@    @@@@@           @@@@@@@@@@     @@@    @@@  @@@   @@@
#

#####################################

#####################################

#         Iranian Exploit DataBase

# Mybb Cms (create forum Page) Cross-Site Script Vulnerability

# Vulnerability : xss Vulnerability

# Vulnerability on : (create forum Page And Edit Forum)

# Version : 1.6* and 1.8.*

# tested : 1.6.18 and 1.8.7

# Vendor site : http://mybb.com/

# pic : http://kkli.ir/K9dwT

# Author : IeDb.Ir

# Site : Www.IeDb.Ir   -   Www.IeDb.Ir/acc   -   xssed.Ir   -   kkli.ir

# Vulnerability attack information site : http://xssed.Ir/

# Archive Exploit = http://kkli.ir/tZa6l

#####################################

# Bug :

http://www.site.com/mybb/admin/index.php?module=forum-management

-----------------------------


# Description :

Enter your admin user the first control panel.
Then go to the forums and posts.
Then click on the Add Forum.
Create your community and forum.
Then into that section, and then click on Edit Profile.

pic : http://kkli.ir/NYHS7

After getting into the community editing and form,
At the Forum, as well as forums, you can put your xss code.

pic : http://up.iedb.ir/uploads/mybb-bug3.jpg

Then, an association is made we store.
Then we just go logged in.
As you can see, you xss code is executed.

pic : http://kkli.ir/1pDlv

Your use of this Bug and security problems, can a small program, you can use cookies to users who come to this forum, to take theft.

The bug in all versions is responsive and is a medium security problem.

--------------

Exploit is private.
The exploit only to send the news and is also in the process of this vulnerability.
To request exploits, stay tuned with us:

http://iedb.ir

http://iedb.ir/acc/

http://irist.ir

http://xssed.ir

email : iedb.team@gmail.com

tnks to : All Member In Iedb.ir and Iedb.ir/acc and And all the other friends that are associated with our team.

#####################################

#  Archive Exploit = http://iedb.ir/exploits-5031.html

#####################################

لینک اثبات : http://iedb.ir/exploits-5031.html

ورژن هایی که تست شده,1.6.18 و 1.8.7

لطفا مدیران mybb و مسئولین,این باگ رو گزارش بدهند.ممنون میشم بد از ثبت,لینک این موضوع رو در داخل سایت اصلی برای من ارسال کنید.
من نتونستم صبت نام کنم.اما مدیران mybb ایرانی و کسانی که داخل فروم هستند,لطفا این را داخل اونجا قرار بدین و لینک بهم بدین.

باگ های بعدش در روز های آینده.:13:

این کار فقط جنبه اطلاع رسانی می باشد. :13::13:

موفق باشید.با تشکر ** مدیریت تیم امنیتی Iedb.Ir **

[Santourio]

ماشالله

خسته نباشی.

مای بی بی هم غیر قابل استفاده شد ؟

[IrIsT]

سلام
http://iedb.ir
اینجا رو ک کنید.یا برید داخل سرچ.اونجا خیلی پیدا میشه.ماشالله تنها پورتالی که هرروز باگ میگه,همینه.اونم البته از پلاگین.
اما هست یک چیزایی.اما دیداسرشو پابلیک میکنم.