Программа: MyBB 1.1.4, и более ранние версии.

Уязвимость позволяет удаленному пользователю обойти некоторые ограничения безопасности. Уязвимость существует из-за отсутствия проверки привилегий пользователя при удалении сообщений. Удаленный пользователь может с помощью специально сформированного сообщения, содержащего тег [img], удалить произвольные сообщения на форуме во время просмотра злонамеренного сообщения администратором.

Пример:

[img]http://[host]/editpost.php?action=deletepost&pid=[post_id]&delete=yes[/img]

Оставить мнение