Vulnerabilidad en MyBB (CVE-2023-46251)

MyBB es un software de foro gratuito y de código abierto. El MyCode personalizado (BBCode) para el editor visual (_SCEditor_) no sanitiza la entrada correctamente al representar HTML, lo que genera una vulnerabilidad XSS basada en DOM. Esta debilidad se puede explotar dirigiendo a la víctima a una página donde el editor visual está activo (por ejemplo, como una publicación o mensaje privado) y opera con un mensaje MyCode creado con fines malintencionados. Esto puede ocurrir en páginas donde el contenido del mensaje se completa previamente mediante un parámetro GET/POST, o en páginas de respuesta donde se cita un mensaje malicioso previamente guardado. El impacto se mitiga cuando: <br /> 1. el editor visual está deshabilitado globalmente (_Admin CP ? Configuration ? Settings ? Clickable Smilies and BB Code: [Clickable MyCode Editor](https://github.com/mybb/mybb/blob/mybb_1836/install/resources/settings.xml#L2087-L2094)_ is set to _Off_), o <br /> 2. el editor visual está deshabilitado para cuentas de usuario individuales (_User CP ? Your Profile ? Edit Options_: _Show the MyCode formatting options on the posting pages_ checkbox is not checked).<br /> MyBB 1.8.37 resuelve este problema con el commit `6dcaf0b4d`. Se recomienda a los usuarios que actualicen. Los usuarios que no puedan actualizar pueden mitigar el impacto sin actualizar MyBB cambiando la siguiente configuración (_Admin CP ? Configuration ? Settings_): - _Clickable Smilies and BB Code ? [Clickable MyCode Editor](https://github.com/mybb/mybb/blob/mybb_1836/install/resources/settings.xml#L2087-L2094)_: _Off_. <br /> De manera similar, los usuarios individuales del foro MyBB pueden desactivar el editor visual marcando la opción de cuenta (_User CP ? Your Profile ? Edit Options_)_Show the MyCode formatting options on the posting pages_.