Katalog CVE

CVE-2026-58054

WysokieCVSS 7.2
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.27%

Percentyl 19 — wyżej niż 19% wszystkich znanych CVE

Streszczenie

W MyBB 1.8.40 ograniczony administrator z uprawnieniami do zarządzania użytkownikami może przypisać dowolną grupę, w tym grupę Administratorów (gid 4). Funkcja verify_usergroup() w module użytkownika zawsze zwraca true, co umożliwia eskalację uprawnień do pełnego zestawu uprawnień administratora.

Ocena ryzyka

Organizacja narażona jest na nieautoryzowane podniesienie uprawnień przez użytkownika z ograniczonym dostępem do panelu administracyjnego, co może prowadzić do pełnego przejęcia kontroli nad systemem MyBB.

Rekomendacja

Należy natychmiast zaktualizować MyBB do wersji 1.8.41 lub nowszej, która zawiera poprawkę ograniczającą możliwość przypisywania grup użytkownikom przez ograniczonych administratorów.

Oryginalny opis (angielski, źródło NVD)

MyBB 1.8.40 does not restrict which usergroup a limited Admin Control Panel user may assign when creating or editing users; the user module offers the Administrators group (gid 4) and its datahandler's verify_usergroup() unconditionally returns true. An admin holding only the delegated user-management permission can assign the Administrators group to an account and escalate to the full Administrator permission set.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS