关键漏洞信息 MyBB 1.8.5 - 安全和维护发布 修复的漏洞和问题: 修复了6个安全漏洞和58个报告的问题,这些漏洞和问题导致MyBB功能不正常。 - 中等风险:重置密码代码检查可以绕过成员授权 - 报告人: solati.sadegh - 中等风险:发送电子邮件时可以伪造发件人电子邮件 - 报告人: online developers - 中等风险:在使用旧会话ID进行帖子搜索时未检查权限 - 报告人: pedder55655 - 中等风险:在xmlhttp.php的快速编辑功能中存在跨站脚本 - 报告人: TiberiusG - 低风险:在ACP群发邮件取消中存在跨站请求伪造 - 报告人: Destroy666 - 低风险:使用U+200E Unicode字符创建“重复”用户名 - 报告人: mahdy2021 注意: 无需运行升级脚本来升级到此版本。 升级过程中有12个语言文件和9个模板被更改或添加。 MyBB 1.6.17 - 安全发布 修复的漏洞: 2个中等风险漏洞和5个低风险漏洞。 - 中等风险:重置密码代码检查可以绕过成员授权 - 报告人: solati.sadegh - 中等风险:在使用旧会话ID进行帖子搜索时未检查权限 - 报告人: pedder55655 - 低风险:在ACP群发邮件取消中存在跨站请求伪造 - 报告人: Destroy666 - 低风险:使用U+200E Unicode字符创建“重复”用户名 - 报告人: mahdy2021 - 低风险:多个跨站脚本漏洞需要管理员权限 - 报告人: adamzijaja, Devilshakerz, DingjieYang 和 sroesemann - 低风险:在ACSpot登录中存在跨站请求伪造漏洞 - 报告人: Devilshakerz - 低风险:使用未编码检查的var_export的缓存处理程序 - 报告人: chtg 注意: 无需运行升级脚本来升级到此版本。 升级过程中语言文件和模板没有变化。