In MyBB 1.2.10 und früheren Versionen wurde eine potenzielle Sicherheitslücke mit mittlerem Risiko gefunden.

“Durch diese Sicherheitslücke ist es Benutzern möglich, einen ungewünschten Avatar hochzuladen. Obwohl das Forum diesen als ungültig erkennt, bleibt dieser im Dateisystem erhalten.

Je nach Konfiguration des Servers oder des Browsers kann diese Datei entweder serverseitig (als PHP) oder im Browser (als HTML) ausgeführt werden.

Es handelt sich hierbei um ein generelles Problem, da jede ungültige Avatardatei bisher nicht gelöscht wurde.

Die MyBB Group hat deshalb einen Patch für MyBB 1.2.10 bereitgestellt, der dieses Problem behebt und damit die Sicherheitslücke schließt. Wir empfehlen den Patch schnellstmöglich einzuspielen.”

[weiterlesen ]