Sistemas Afectados

1. Descripción

   MyBB (MyBulletinBoard) 1,1,0 no inicializa la variable KILL_GLOBAL en los archivos global.php y inc/init.php, que permite a atacantes remotos inicializar variables arbitrarias las cuales son procesadas por un comando de extracción, que podría entonces conducir a ataques de tipo cross-site scripting (XSS) o de SQL injection.

2. Impacto

   Los sitios que se basen en este desarrollo de código abierto, deben considerar que sus portales puedan ser afectados de forma remota, lo que incrementa sustancialmetne el riesgo.

3. Solución

   Se recomienda que se actualice a la versión 1.1.1 del paquete MyBB, para esto seguir las instrucciones correspondientes liberadas en el sitio del proveedor:

   http://www.mybboard.com/downloads.php

La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:

• J. Roberto Sánchez Soledad (roberto dot sanchez at cert dot unam dot mx)
• Alejandro Nuñez Sandoval (anunez at seguridad dot unam dot mx)