Vulnerabilidad en MyBB (CVE-2024-23336)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
01/05/2024
Última modificación:
30/06/2025
Descripción
MyBB es un software de foro gratuito y de código abierto. La lista predeterminada de hosts remotos no permitidos no contiene el bloque `127.0.0.0/8`, lo que puede provocar una vulnerabilidad de Server Side Request Forgery (SSRF). La lista de _Direcciones remotas no permitidas_ del archivo de configuración ("$config['disallowed_remote_addresses']`) contiene la dirección `127.0.0.1`, pero no incluye el bloque completo `127.0.0.0/8`. MyBB 1.8.38 resuelve este problema en las instalaciones predeterminadas. Los administradores de las placas instaladas deben actualizar la configuración existente (`inc/config.php`) para incluir todas las direcciones bloqueadas de forma predeterminada. Además, se recomienda a los usuarios que verifiquen que incluya otras direcciones IPv4 que se resuelvan en el servidor y otros recursos internos. Los usuarios que no puedan actualizar pueden agregar manualmente 127.0.0.0/8' a su lista de direcciones no permitidas.
Impacto
Puntuación base 3.x
5.00
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:mybb:mybb:*:*:*:*:*:*:*:* | 1.8.38 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://docs.mybb.com/1.8/administration/configuration-file
- https://github.com/mybb/mybb/commit/d6a96019025de9149014e06b1df252e6122e5630
- https://github.com/mybb/mybb/security/advisories/GHSA-qfrj-65mv-h75h
- https://mybb.com/versions/1.8.38
- https://docs.mybb.com/1.8/administration/configuration-file
- https://github.com/mybb/mybb/commit/d6a96019025de9149014e06b1df252e6122e5630
- https://github.com/mybb/mybb/security/advisories/GHSA-qfrj-65mv-h75h
- https://mybb.com/versions/1.8.38