CVE-2025-48941

MyBB is free and open source forum software. Prior to version 1.8.39, the search component does not validate permissions correctly, which allows attackers to determine the existence of hidden (draft, unapproved, or soft-deleted) threads containing specified text in the title. The visibility state (`mybb_threads.visible` integer column) of threads is not validated in internal search queries, whose result is used to output a general success or failure of the search. While MyBB validates permissions when displaying the final search results, a search operation that internally produces at least one result outputs a redirect response (as a HTTP redirect, or a success message page with delayed redirect, depending on configuration). On the other hand, a search operation that internally produces no results outputs a corresponding message in the response without a redirect. This allows a user to determine whether threads matching title search parameters exist, including draft threads (`visible` with a value of `-2`), soft-deleted threads (`visible` with a value of `-1`), and unapproved threads (`visible` with a value of `0`); in addition to displaying generally visible threads (`visible` with a value of `1`). This vulnerability does not affect other layers of permissions. In order to exploit the vulnerability, the user must have access to the search functionality, and general access to forums containing the thread(s). The vulnerability does not expose the message content of posts. MyBB 1.8.39 resolves this issue.
Configurations

Configuration 1 (hide)

cpe:2.3:a:mybb:mybb:*:*:*:*:*:*:*:*

History

02 Jul 2025, 15:14

Type Values Removed Values Added
Summary
  • (es) MyBB es un software de foro gratuito y de código abierto. Antes de la versión 1.8.39, el componente de búsqueda no validaba correctamente los permisos, lo que permitía a los atacantes determinar la existencia de hilos ocultos (borradores, no aprobados o eliminados temporalmente) que contenían el texto especificado en el título. El estado de visibilidad (columna entera `mybb_threads.visible`) de los hilos no se valida en las consultas de búsqueda internas, cuyo resultado se utiliza para indicar si la búsqueda se ha realizado correctamente o no. Si bien MyBB valida los permisos al mostrar los resultados finales de la búsqueda, una operación de búsqueda que produce internamente al menos un resultado genera una respuesta de redirección (como una redirección HTTP o una página de mensaje de éxito con redirección retrasada, según la configuración). Por otro lado, una operación de búsqueda que no produce resultados internamente genera un mensaje correspondiente en la respuesta sin redirección. Esto permite al usuario determinar si existen hilos que coinciden con los parámetros de búsqueda de título, incluyendo borradores (visibles con un valor de -2), hilos eliminados temporalmente (visibles con un valor de -1) e hilos no aprobados (visibles con un valor de 0); además de mostrar hilos visibles (visibles con un valor de 1). Esta vulnerabilidad no afecta a otras capas de permisos. Para explotarla, el usuario debe tener acceso a la función de búsqueda y acceso general a los foros que contienen los hilos. La vulnerabilidad no expone el contenido de los mensajes. MyBB 1.8.39 soluciona este problema.
References () https://github.com/mybb/mybb/commit/b8cc332a27e145c33effaccec90e23c103ae5193 - () https://github.com/mybb/mybb/commit/b8cc332a27e145c33effaccec90e23c103ae5193 - Patch
References () https://github.com/mybb/mybb/security/advisories/GHSA-f847-57xc-ffwr - () https://github.com/mybb/mybb/security/advisories/GHSA-f847-57xc-ffwr - Vendor Advisory
References () https://mybb.com/versions/1.8.39 - () https://mybb.com/versions/1.8.39 - Product, Release Notes
CPE cpe:2.3:a:mybb:mybb:*:*:*:*:*:*:*:*
First Time Mybb
Mybb mybb

02 Jun 2025, 16:15

Type Values Removed Values Added
New CVE

Information

Published : 2025-06-02 16:15

Updated : 2025-07-02 15:14


NVD link : CVE-2025-48941

Mitre link : CVE-2025-48941

CVE.ORG link : CVE-2025-48941


JSON object : View

Products Affected

mybb

  • mybb
CWE
CWE-1230

Exposure of Sensitive Information Through Metadata