MyBB 1.4.3 did not fix XSS flaw mentioned yesterday. MyBB’s patch is a simple black list – it replaces ‘ with \’… which does not protect when you use attack like this:

http://www.victim.example/mybb/moderation.php?action=removesubscriptions

&ajax=1&url=\’%2Balert(‘XSS!’)//

Better way to solve this is to use addslashes() (see my previous post) and the best way – use white list.

Update (2.12.2008): They fixed it properly (with addslashes()) in MyBB 1.4.4.

Na BugTraqu znaleźć można proof of concept dla niezałatanych luk do MyBB 1.4 (w tym najnowszej wersji 1.4.2). Pierwszy błąd polega na braku walidacji parametru url przy przekierowywaniu po wykonanej czynności moderatorskiej. W efekcie jest luka Cross-site scripting, której wykorzystanie skierowane może być do użytkowników z uprawnieniami moderatora lub wyżej. Oprócz tego jeszcze dwie (mniej istotne) słabości skryptu. W samą historię luki (patrz link), biorąc pod uwagę niefrasobliwość deweloperów MyBB w podejściu do błędów, jestem w stanie uwierzyć… Prosta łata, póki producent nie wypuści poprawnego patcha:

File: functions.php, function redirect()

FIND:
function redirect($url, $message="", $title="")
{
global $header, $footer, $mybb, $theme, $headerinclude, $templates, $lang, $plugins;

$redirect_args = array('url' => &$url, 'message' => &$message, 'title' => &$title);

$plugins->run_hooks_by_ref("redirect", $redirect_args);

if($mybb->input['ajax'])

REPLACE WITH:
function redirect($url, $message="", $title="")
{
global $header, $footer, $mybb, $theme, $headerinclude, $templates, $lang, $plugins;

$redirect_args = array('url' => &$url, 'message' => &$message, 'title' => &$title);

$plugins->run_hooks_by_ref("redirect", $redirect_args);

$url = addslashes($url) ;
if($mybb->input['ajax'])

Update: MyBB 1.4.3 łata dziurę, aczkolwiek (podobnie do mojej zmiany powyżej) tylko na zasadzie czarnej listy…