MyBB GroupのMyBB Last User's Threadsにおけるクロスサイトスクリプティングの脆弱性
| Title |
MyBB GroupのMyBB Last User's Threadsにおけるクロスサイトスクリプティングの脆弱性
|
| Summary |
MyBB Last User's Threads in Profile Plugin 1.2には永続的なクロスサイトスクリプティングの脆弱性が存在し、攻撃者がスレッドの件名にスクリプトタグを巧妙に埋め込むことで悪意のあるスクリプトを注入できます。攻撃者は件名フィールドにスクリプトペイロードを含むスレッドを作成し、ユーザーが攻撃者のプロフィールページを訪問した際にスクリプトが実行されます。
|
| Possible impacts |
当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。 |
| Solution |
正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date |
April 4, 2026, midnight |
| Registration Date |
April 21, 2026, 10:43 a.m. |
| Last Update |
April 21, 2026, 10:43 a.m. |
|
CVSS3.0 : 警告
|
| Score |
6.1
|
| Vector |
CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
Affected System
| MyBB Group |
|
MyBB Last User's Threads 1.2 およびそれ以前
|
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
| No |
Changed Details |
Date of change |
| 1 |
[2026年04月21日]
掲載 |
April 21, 2026, 10:43 a.m. |
NVD Vulnerability Information
CVE-2018-25250
| Summary |
MyBB Last User's Threads in Profile Plugin 1.2 contains a persistent cross-site scripting vulnerability that allows attackers to inject malicious scripts by crafting thread subjects with script tags. Attackers can create threads with script payloads in the subject field that execute when users visit the attacker's profile page.
|
| Publication Date |
April 4, 2026, 11:16 p.m. |
| Registration Date |
April 15, 2026, 11:25 a.m. |
| Last Update |
April 20, 2026, 11:31 p.m. |
Affected software configurations
| Configuration1 |
or higher |
or less |
more than |
less than |
| cpe:2.3:a:mybb:last_user_threads:*:*:*:*:*:mybb:*:* |
|
1.2 |
|
|
Related information, measures and tools
Common Vulnerabilities List