AoF, IAA, XML Injection и XSS уязвимости в MyBB

Здравствуйте 3APA3A!

Сообщаю вам о найденных мною Abuse of Functionality, Insufficient Anti-automation, XML Injection and Cross-Site Scripting уязвимостях в MyBB.

Abuse of Functionality (WASC-42):

Через данный функционал можно выявлять логины в системе.

http://site/xmlhttp.php?action=username_availability&value=test

http://site/xmlhttp.php?action=username_exists&value=test

Insufficient Anti-automation (WASC-21):

Учитывая, что данный функционал не имеет защиты от автоматизированных атак, это позволяет проводить автоматизированное выявление логинов в системе. В
дальнейшем выявленные логины могут быть использованы для определения паролей пользователей системы.

XML Injection (WASC-23):

http://site/xmlhttp.php?action=username_exists&value=%3Cxml/%3E

XSS через XML Injection (WASC-08):

http://site/xmlhttp.php?action=username_exists&value=%3Cdiv%20xmlns=%22http://www.w3.org/1999/xhtml%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E%3C/div%3E

Уязвимы MyBB 1.6.1 и предыдущие версии.

В версиях MyBB 1.6.2 и 1.4.15 XML Injection и XSS уязвимости были исправлены (http://blog.mybb.com/2011/02/22/mybb-1-6-2-and-1-4-15-security-update/). Также
разработчики попытались исправить IAA, добавив новый параметр my_post_key к запросу, но это не поможет против IAA, потому что достаточно взять значение этого
параметра со страницы форума (что может быть сделано программой) и в дальнейшем проводить автоматизированную атаку для определения логинов.

Дополнительная информация о данных уязвимостях у меня на сайте:
http://websecurity.com.ua/4925/

Best wishes & regards,
MustLive
Администратор сайта
http://websecurity.com.ua