MyBB'de tespit edilen açıklar saldırganların SQL enjeksiyoni ve cross-site request forgery saldırıları yapabilmelerine izin veriyor.

1) inc/datahandlers/pm.phpi dosyasına gönderilen girişler SQL sorgularında kullanılmadan önce doğru olarak filtrelenmiyor.
2) uygulama herhangi bir onaylama kontrolü olmadan kullanıcıların HTTP istekleri ile bazı işlemler yapmalarına izin verebiliyor. Bu açık ile moderatörlerin kötü amaçlı bir siteyi ziyaret etmesini sağlayarak içerik silme gibi işlemler yapılabiliyor.

Etkileri: Çapraz Site Betik Çalıştırma, Servis Kullanımı Engelleme (DoS), Sistem erişimi

Mozilla firefox'da uzaktan yararlanılabilen güvenlik açıkları olduğu rapor edildi.
1) windows.location özellikleğini ayarlamadaki bir "race condition" problemi, sahte HTTP Referer başlığı yaratmada ve CSRF saldırıları gerçekleştirmede kullanılabiliyor.

XSS'i (Cross Site Scripting), web tarayıcısı gibi bir istemcinin bir web uygulamasına güveninden yararlanmak olarak düşünebiliriz. Peki bir uygulamanın bir kullanıcıya olan güveni de exploit edilebilir mi?

Gmail'deki bir açık sayesinde, kurban gmail hesabına girdikten sonra ziyaret ettiği bir sayfadan multipart/form-data POST yöntemiyle kurbanın filtre listesine saldırgan tarafından hazırlanan filtre eklenebiliyor. Resimli örnekleri altta yer alıyor: