← 戻る
CVE-2026-58054
high
CVSS 7.2
MyBB 1.8.40 does not restrict which usergroup a limited Admin Control Panel user may assign when...
概要
MyBB 1.8.40 does not restrict which usergroup a limited Admin Control Panel user may assign when...
AI要約 openai / gpt-4o
MyBB 1.8.40は、制限された管理パネルユーザーがユーザーグループを管理できるという欠陥があります。これにより、限られた権限しか持たない管理者が、他のユーザーを完全な管理者権限のあるグループに割り当てることが可能になります。結果として権限のエスカレーションが発生します。
❓ 何が問題か
MyBB 1.8.40における制限された管理パネルユーザーがユーザーグループを制限なく割り当て可能な欠陥。
📍 影響範囲
MyBB 1.8.40のユーザーモジュールのverify_usergroup関数。
🔥 重要度
通常のユーザーが管理者権限を得ることができるため、重大な権限のエスカレーションが可能。
🔧 修正方法
ユーザーモジュールのverify_usergroup関数を修正し、適切なユーザーグループの検証を導入する。
🛡️ 暫定回避
限定された管理パネルユーザーの権限を見直し、不必要なユーザー管理権限を外す。
🔍 検知方法
現在の権限設定を確認し、限定された管理パネルユーザーが管理者権限を割り当てていないかを確認する。