Vulnerabilidad en MyBB (CVE-2024-23335)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-20
Validación incorrecta de entrada
Fecha de publicación:
01/05/2024
Última modificación:
30/06/2025
Descripción
MyBB es un software de foro gratuito y de código abierto. El módulo de gestión de copias de seguridad del Admin CP puede aceptar `.htaccess` como nombre del archivo de copia de seguridad que se eliminará, lo que puede exponer los archivos de copia de seguridad almacenados a través de HTTP en servidores Apache. MyBB 1.8.38 resuelve este problema. Se recomienda a los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad
Impacto
Puntuación base 3.x
4.70
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:mybb:mybb:*:*:*:*:*:*:*:* | 1.8.38 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/mybb/mybb/commit/450259e501b94c9d483efb167cb2bf875605e111.patch
- https://github.com/mybb/mybb/security/advisories/GHSA-94xr-g4ww-j47r
- https://mybb.com/versions/1.8.38
- https://github.com/mybb/mybb/commit/450259e501b94c9d483efb167cb2bf875605e111.patch
- https://github.com/mybb/mybb/security/advisories/GHSA-94xr-g4ww-j47r
- https://mybb.com/versions/1.8.38