CVE-2026-58054
WysokieCVSS 7.2Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 19 — wyżej niż 19% wszystkich znanych CVE
Streszczenie
W MyBB 1.8.40 ograniczony administrator z uprawnieniami do zarządzania użytkownikami może przypisać dowolną grupę, w tym grupę Administratorów (gid 4). Funkcja verify_usergroup() w module użytkownika zawsze zwraca true, co umożliwia eskalację uprawnień do pełnego zestawu uprawnień administratora.
Ocena ryzyka
Organizacja narażona jest na nieautoryzowane podniesienie uprawnień przez użytkownika z ograniczonym dostępem do panelu administracyjnego, co może prowadzić do pełnego przejęcia kontroli nad systemem MyBB.
Rekomendacja
Należy natychmiast zaktualizować MyBB do wersji 1.8.41 lub nowszej, która zawiera poprawkę ograniczającą możliwość przypisywania grup użytkownikom przez ograniczonych administratorów.
Oryginalny opis (angielski, źródło NVD)
MyBB 1.8.40 does not restrict which usergroup a limited Admin Control Panel user may assign when creating or editing users; the user module offers the Administrators group (gid 4) and its datahandler's verify_usergroup() unconditionally returns true. An admin holding only the delegated user-management permission can assign the Administrators group to an account and escalate to the full Administrator permission set.

