发布日期：2008-11-25
更新日期：2008-11-27

受影响系统：

MyBB MyBB 1.4.3

描述：

---

BUGTRAQ  ID: 32467

MyBB是一款流行的Web论坛程序。

MyBB在对引用了外部站点的图形发送某些请求时（如执行拆分和合并线索或删帖等操作），Referer HTTP头中会包含有my_post_key令牌，这可能导致泄露用户的密钥令牌。

<*来源：NBBN （nbbn@gmx.net）
  
  链接：http://secunia.com/advisories/32880/
        http://marc.info/?l=bugtraq&m=122763261013797&w=2
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

http://localhost/mybb/moderation.php?action=mergeposts&tid=1&modtype=thread&my_post_key=[key]                                
http://localhost/mybb/moderation.php?action=split&tid=1&modtype=thread&my_post_key=[key]                                    
http://localhost/mybb/moderation.php?action=deleteposts&tid=1&modtype=thread&my_post_key=[key]

建议：

---

厂商补丁：

MyBB
----
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.mybboard.com/

浏览次数：2664
严重程度：0（网友投票）