Product: SourceBans Material Admin
Version: < 1.1.6@fb18342
Vendor repository: https://github.com/SB-MaterialAdmin/Web
Affected component: file pages/admin.uploadmapimg.php
Vulnerability Type: Unrestricted Upload of File with Dangerous Type (CWE-434)
CVE ID: CVE-2026-30761
Discovered: October 29, 2025
Reporter: ng-dst
ng-dst
ng-dst
/ CVE-2026-30761.md
Last active
March 27, 2026 01:21
RCE via file upload in SourceBans Material Admin (CVE-2026-30761)
ng-dst
/ CVE-2026-30760.md
Last active
March 27, 2026 01:09
Authenticated SQLi + CSRF in SourceBans Material Admin (CVE-2026-30760)
Product: SourceBans Material Admin
Version: < 1.1.6@a871904
Environment: PHP <= 8.0
Vendor repository: https://github.com/SB-MaterialAdmin/Web
Affected component: endpoint ChangeAdminsInfos, file includes/sb-callback.php
Vulnerability Type: SQL Injection (CWE-89)
CVE ID: CVE-2026-30760
Discovered: October 29, 2025
ng-dst
/ sbma-csrf2rce.md
Created
February 8, 2026 11:38
Security writeup: How a single GET CSRF can lead to 1-click Account Takeover, Privilege Escalation, and RCE in web interface of a game plugin
Разберем интересную атаку, начавшуюся с простого CSRF на обновление ссылки VK в профиле и завершившуюся захватом всех аккаунтов и получением RCE на хосте с доступом ко всем серверам, подключенным к веб-админке.
Для многих из нас Counter‑Strike, Team Fortress, Half-Life были не просто играми, а целым сообществом, где мы играли на кастомных серверах с кучей модов и плагинов. Практически везде в чате висела ссылка на SourceBans — веб‑интерфейс на PHP для управления банами, серверами, админ-листом. Именно в этой системе покупались админки, выдавались баны и муты, привилегии, велись споры игроков с администрацией...
Одним из наиболее популярных на русскоязычных серверах был и остаётся SourceBans Material Admin, форк SourceBans++ с обновленным дизайном и новыми фичами для админов и игроков.