製品・ソフトウェアに関する情報
Vulnerability Search
MyBB におけるディレクトリトラバーサルの脆弱性
Title MyBB におけるディレクトリトラバーサルの脆弱性
Summary

MyBB には、ギャラリーからユーザのアバターを変更する際、ディレクトリトラバーサルの脆弱性が存在します。

Possible impacts リモート認証されたユーザにより、ディレクトリトラバーサルシーケンスを含むアバターおよび gallery パラメータを介して、ファイルの存在を特定される可能性があります。
Solution

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date Dec. 29, 2009, midnight
Registration Date Sept. 25, 2012, 5:38 p.m.
Last Update Sept. 25, 2012, 5:38 p.m.
CVSS2.0 : 警告
Score 6.3
Vector AV:N/AC:M/Au:S/C:C/I:N/A:N
Affected System
mybboard
mybb 1.4.10 およびそれ以前
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
Change Log
No Changed Details Date of change
0 [2012年09月25日]
  掲載		 Feb. 17, 2018, 10:37 a.m.
NVD Vulnerability Information
CVE-2009-4449
Summary

Directory traversal vulnerability in MyBB (aka MyBulletinBoard) 1.4.10, and possibly earlier versions, when changing the user avatar from the gallery, allows remote authenticated users to determine the existence of files via directory traversal sequences in the avatar and possibly the gallery parameters, related to (1) admin/modules/user/users.php and (2) usercp.php.

Summary

Vulnerabilidad de salto de directorio en MyBB (MyBulletinBoard) v1.4.10, y posiblemente versiones anteriores. Cuando se cambia el avatar de usuario desde la galería, permite a usuarios remotos autenticados determinar la existencia de ficheros a través de secuencias de salto de directorio en el avatar y posiblemente los parámetros de la galería. Relacionado con (1) admin/modules/user/users.php y (2) usercp.php.

Publication Date Dec. 30, 2009, 5:41 a.m.
Registration Date Jan. 29, 2021, 1:27 p.m.
Last Update April 23, 2026, 9:35 a.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:mybb:mybb:1.4.10:*:*:*:*:*:*:*
Related information, measures and tools
Common Vulnerabilities List