Проблема в MyBB 1.8.38 позволяет удаленному злоумышленнику получить конфиденциальную информацию через функцию Mail. Примечание: Поставщик о…
Проблема в MyBB 1.8.38 позволяет удаленному злоумышленнику получить конфиденциальную информацию через функцию Mail. Примечание: Поставщик оспаривает это из-за разрешенных действий администраторов доски и из-за смягчения SSRF. Согласно документации MyBB [1], для предотвращения атак SSRF необходимо настроить список запрещенных хостов и IP-адресов в файле конфигурации inc/config.php. Источники: - [1] https://docs.mybb.com/1.8/administration/security/protection/#limit-access-to-private-hosts-and-ip-addresses - [2] https://www.yuque.com/morysummer/vx41bz/ggnmg5nnu635kvrc
Веб-сервер получает URL или аналогичный запрос от вышестоящего компонента и извлекает содержимое по этому URL, однако не обеспечивает в достаточной мере, что запрос направляется к ожидаемому адресату.
https://cwe.mitre.org/data/definitions/918.html →Открыть в коллекции CWE →Нет описания в исходных данных.
https://capec.mitre.org/data/definitions/664.html →Открыть в коллекции CAPEC →