| タイトル | MyBB GroupのMyBB Last User's Threadsにおけるクロスサイトスクリプティングの脆弱性 |
|---|---|
| 概要 | MyBB Last User's Threads in Profile Plugin 1.2には永続的なクロスサイトスクリプティングの脆弱性が存在し、攻撃者がスレッドの件名にスクリプトタグを巧妙に埋め込むことで悪意のあるスクリプトを注入できます。攻撃者は件名フィールドにスクリプトペイロードを含むスレッドを作成し、ユーザーが攻撃者のプロフィールページを訪問した際にスクリプトが実行されます。 |
| 想定される影響 | 当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。 |
| 対策 | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2026年4月4日0:00 |
| 登録日 | 2026年4月21日10:43 |
| 最終更新日 | 2026年4月21日10:43 |
| CVSS3.0 : 警告 | |
| スコア | 6.1 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
| MyBB Group |
| MyBB Last User's Threads 1.2 およびそれ以前 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年04月21日] 掲載 |
2026年4月21日10:43 |
| 概要 | MyBB Last User's Threads in Profile Plugin 1.2 contains a persistent cross-site scripting vulnerability that allows attackers to inject malicious scripts by crafting thread subjects with script tags. Attackers can create threads with script payloads in the subject field that execute when users visit the attacker's profile page. |
|---|---|
| 公表日 | 2026年4月4日23:16 |
| 登録日 | 2026年4月15日11:25 |
| 最終更新日 | 2026年4月20日23:31 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:mybb:last_user_threads:*:*:*:*:*:mybb:*:* | 1.2 | ||||