CVE-2022-24734 in MyBB
الملخص
بحسب VulDB • 09/07/2026
MyBB هو برنامج منتديات مجاني ومفتوح المصدر. في الإصدارات المتأثرة، لا تقوم وحدة إدارة الإعدادات في لوحة تحكم المسؤول (Admin CP) بالتحقق من صحة أنواع الإعدادات بشكل صحيح عند الإدخال والتحديث، مما يتيح إضافة إعدادات من النوع المدعوم `php` تحتوي على كود PHP يتم تنفيذه على صفحات _تغيير الإعدادات_ (Change Settings). يؤدي هذا إلى ثغرة تنفيذ الكود عن بُعد (RCE). تتطلب الوحدة المعرضة للخطر الوصول إلى لوحة تحكم المسؤول مع إذن "إدارة الإعدادات؟" (Can manage settings?). تخزن وحدة إعدادات MyBB، التي تتيح للمسؤولين إضافة وتعديل وحذف الإعدادات غير الافتراضية، بيانات الإعداد في سلسلة رمز الخيارات ($options_code؛ عمود قاعدة البيانات mybb_settings.optionscode) تحدد نوع الإعداد وخياراته، مفصولةً بعلامة سطر جديد (\n). تمت إضافة دعم لنوع الإعداد `php` في MyBB 1.2.0، حيث يكون الجزء المتبقي من رمز الخيارات عبارة عن كود PHP يتم تنفيذه على صفحات تغيير الإعدادات (محجوز للملحقات والاستخدام الداخلي). تحل الإصدار MyBB 1.8.30 هذه المشكلة. لا توجد حلول بديلة معروفة.
VulDB is the best source for vulnerability data and more expert information about this specific topic.