CVE-2015-8974
🟠 Łataj w tym tygodniu
Wstrzyknięcie SQL w module promocji grup w MyBB umożliwia zdalne wykonanie dowolnych poleceń SQL.
CVSS
10.0
EPSS
3.7%
Exploit
none
Vendor
mybb
Opis źródłowy (NVD)
SQL injection vulnerability in the Group Promotions module in the admin control panel in MyBB (aka MyBulletinBoard) before 1.6.18 and 1.8.x before 1.8.6 and MyBB Merge System before 1.8.6 allows remote attackers to execute arbitrary SQL commands via unspecified vectors.
sql-injection
Brak patcha
Źródła i daty
| Źródło | Wartość |
|---|---|
| NVD – CVSS | 10.0 |
| CISA KEV (aktywnie wykorzystywane) | Nie |
| FIRST EPSS (prawdopodobieństwo exploita) | 3.7% |
| Opublikowano (NVD) | 2017-01-31 22:59:00 UTC |
| Ostatnia modyfikacja (NVD) | 2026-05-13 00:24:29 UTC |
Referencje
- http://www.openwall.com/lists/oss-security/2016/11/10/8 (cve@mitre.org) [Third Party Advisory]
- http://www.openwall.com/lists/oss-security/2016/11/18/1 (cve@mitre.org) [Mailing List, Third Party Advisory]
- http://www.securityfocus.com/bid/94397 (cve@mitre.org) [Third Party Advisory, VDB Entry]
- https://blog.mybb.com/2015/09/07/mybb-1-8-6-1-6-18-merge-system-1-8-6-release/ (cve@mitre.org) [Release Notes, Vendor Advisory]