В начале октября разработчики открытого форума MyBB опубликовали уведомление о наличии критической уязвимости в последней версии 1.6.4, выпущенной три месяца назад. Сегодня опубликованы подробности, указывающие на то, что уязвимость, позволяющая выполнить произвольный код PHP, была внесена злоумышленниками путем подмены за архива с форумом на сервере.

По словам разработчиков злоумышленники проникли в систему через неизвестную уязвимость в движке сайта, разработанном своими силами, но основанном на использовании сторонних открытых фреймворков. Разработчики считают, что проблема безопасности присутствует не в коде их CMS, который не распространяется публично, а в используемых внешних фреймворках. Подробности совершения взлома и время подмены архива не известны, поэтому разработчики рекомендуют срочно установить обновление для всех пользователей MyBB 1.6.4, загрузивший архив до 6 октября. Пользователям рекомендуется проверить файл index.php на наличие вредоносного кода index.php и удалить директорию "install/".

Уязвимы системы в файле index.php который содержится строка:

   eval("\$loginform = \"".$templates->get("index_loginform")."\";".@$col[23]);  

для блокирования вредоносного кода, данную строку следует заменить на:

   eval("\$loginform = \"".$templates->get("index_loginform")."\";"); 

С целью предотвращения подобных инцидентов в будущем, разработчики MyBB намерены начать распространение контрольных сумм для проверки целостности изначально опубликованных архивов. Контрольные суммы планируется распространять через сторонний сервер, чтобы исключить ситуацию, при которой злоумышленники могут подменить файлы с контрольными суммами. Второй вариант, который рассматривают разработчики MyBB - использование сетей доставки контента для организации загрузки релизов.