MyBB All Version (Add Forum) Stored XSS

[Am!r]

سلام.
ببخشید,این فقط واسه اطلاع رسانی هستش که گفتم توی مدیریت mybb بذارم تا اینا پیگیری کنن این مشکل امنیتی برطرف بشه.

مشکل زیاد جدی نیست.ولی برای پورتال بزرگ mybb این چیزا وجود نداشته باشه بهتره.
کارایی خوبی می تونه یک هکر انجام بده.
این دیروز ثبت شده:

کد php:

# Exploit Title: MyBB All Version (Add Forum) Stored XSS
# Exploit Author: Am!r
# Homepage: http://irist.ir/forum
# Software Link: http://mybb.com/
# Security Risk : High
# Version: All Version
# Tested on: Linux

##############################################################
Stored XSS-Instructions
1.Install Mybb
2.Go to UserCP >> Forums & Posts >> Add New Forum
3.Insert Your Xss Script In Title And Save New Forum .ex. "><script>alert("Www.IrIsT.Ir")</script>
4.Visit your Forum

See Image :
http://uploadtak.com/images/y98_irist.jpg
##############################################################

# Greats : B3HZ4D - Mikili - Dead.Zone - C0dex - TaK.FaNaR - BestC0d3r - Beni_Vanda - one hacker alone
# 0x0ptim0us - m3hdi - F@rid - dr.tofan - skote_vahshat - Mr.Xpr - M.R.S.CO - Mr.Cicili - Dj.TiniVini
# H-SK33PY - Immortal Boy - Noter - & All Members In Www.IrIsT.Ir/forum & Www.Datacoders.Org 


اطلاعات تکمیلی این باگ و همچنین لینک اثبات :

http://irist.ir/forum/thread-726.html

[lab]

کسی که بتونه بره تو پنل ادمین دیگه احتیاج به این نداره،هزار تا سوراخ داره پنل که میشه سایت رو حک و علامت یادگاری رو گذاشت.
ولی ممنون از گزارشتون و در ضمن:
کپی رایتتون رو من ندیدم
Powered by IrIsT Security Team
؟؟؟؟؟

[Am!r]

باید بگم که توضیحات تکمیلی رو گذاشتم توی صفحه.
ولی مثلا من به عنوان مدیر اون سایت,میام از همین باگ استفاده می کنم و هر بازدید کننده ای که میاد توی سایتم کوکی هاشونو بر می دارم,بعدش میام کیلاگیر می ذارم بعدش میام ...... کار انجام می دم.
خوب فکر کنم کامل بود توضیحاتم.چون خیلی استفاده ها می شه کرد.که یک هکر و یا ادمین می تونه انجام بده.