CRITICAL🇬🇧 English

CVE-2011-10018

MyBB 1.6.4 — backdoor w pakiecie źródłowym umożliwiający RCE

CVSS 10.0v4.0pub. 2025-08-13upd. 2025-08-14

Wersja MyBB 1.6.4 została rozpowszechniona z nieautoryzowanym backdoorem wbudowanym w kod źródłowy podczas procesu pakowania. Podatność umożliwia zdalnemu atakującemu wykonanie dowolnego kodu PHP bez jakiejkolwiek autoryzacji, co prowadzi do pełnego przejęcia serwera WWW.

Pokaż oryginał (EN)

myBB version 1.6.4 was distributed with an unauthorized backdoor embedded in the source code. The backdoor allowed remote attackers to execute arbitrary PHP code by injecting payloads into a specially crafted collapsed cookie. This vulnerability was introduced during packaging and was not part of the intended application logic. Exploitation requires no authentication and results in full compromise of the web server under the context of the web application.

🤖 Analiza AI
Jak działa

Backdoor został wprowadzony do paczki dystrybucyjnej MyBB 1.6.4 na etapie pakowania — nie był częścią oryginalnej logiki aplikacji. Atakujący może wykonać dowolny kod PHP poprzez wstrzyknięcie odpowiednio spreparowanego payloadu do specjalnie skonstruowanego nagłówka cookie o nazwie 'collapsed'. Exploit nie wymaga uwierzytelnienia ani żadnej interakcji ze strony użytkownika, a wykonanie kodu odbywa się w kontekście uprawnień aplikacji webowej na serwerze.

Skutki

Atakujący uzyskuje możliwość wykonania dowolnego kodu PHP na serwerze, co skutkuje pełnym przejęciem kontroli nad serwerem WWW, włącznie z dostępem do danych aplikacji, bazy danych oraz możliwością dalszego lateral movement w infrastrukturze.

Mitygacja

Należy natychmiast zaktualizować MyBB do wersji wyższej niż 1.6.4 lub zastosować patche wskazane przez producenta w oficjalnym komunikacie bezpieczeństwa (blog.mybb.com). Wszystkie instalacje oparte na wersji 1.6.4 należy traktować jako w pełni skompromitowane i przeprowadzić audyt bezpieczeństwa serwera.

Kogo dotyczy

MyBB w wersji 1.6.4 — wyłącznie ta wersja była rozpowszechniana z osadzonym backdoorem

Uwagi

Backdoor został wprowadzony na etapie pakowania dystrybucji, a nie w ramach normalnego procesu deweloperskiego (CWE-912: Hidden Functionality). Publicznie dostępny moduł exploit w frameworku Metasploit (rapid7/metasploit-framework) oraz wpis w Exploit-DB (ID 17949) potwierdzają istnienie gotowego narzędzia do wykorzystania tej podatności. CVE zostało opublikowane 2025-08-13 jako formalne przypisanie do incydentu z 2011 roku.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Mybb

    APP
    Mybb
    1.6.4
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2020-22612CRITICAL9.8ten sam produkt

Installer RCE on settings file write in MyBB before 1.8.22.

CVE-2017-16780CRITICAL9.8ten sam produkt

The installer in MyBB before 1.8.13 allows remote attackers to execute arbitrary code by writing to the config...

CVE-2016-9412CRITICAL9.8ten sam produkt

MyBB (aka MyBulletinBoard) before 1.8.7 and MyBB Merge System before 1.8.7 allow attackers to have unspecified...

CVE-2015-8974CRITICAL10.0ten sam produkt

SQL injection vulnerability in the Group Promotions module in the admin control panel in MyBB (aka MyBulletinB...

CVE-2016-9402CRITICAL9.8ten sam produkt

SQL injection vulnerability in the moderation tool in MyBB (aka MyBulletinBoard) before 1.8.7 and MyBB Merge S...

CVE-2011-10018 — MyBB 1.6.4 — backdoor w pakiecie źródłowym umożliwiający RCE — CRITICAL 10.0 | CVEbaza.pl