MyBB MYPS插件username参数跨站脚本执行漏洞

受影响系统：



MyBB MyBB 1.4.10
描述：



MyBB是一款流行的Web论坛程序。



如果将action设置为donate的话，MyBB的MYPS插件没有正确地过滤提交给myps.php页面的username参数便返回给了用户，远程攻击者可以通过提交恶意请求执行跨站脚本攻击，导致在用户浏览器会话中执行任意HTML和脚本代码。




测试方法：



以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！








http://server/myps.php?action=donate