CVE-2022-24734 in MyBB
Resumen
por VulDB • 2026-06-13
MyBB es un software de foros gratuito y de código abierto. En las versiones afectadas, el módulo de gestión de configuración del Panel de Administración (Admin CP) no valida correctamente los tipos de configuración durante la inserción y la actualización, lo que permite añadir configuraciones del tipo soportado `php` con código PHP, que se ejecuta en las páginas de _Cambiar Configuración_. Esto da lugar a una vulnerabilidad de Ejecución Remota de Código (RCE). El módulo vulnerable requiere acceso al Panel de Administración con el permiso `¿Puede gestionar configuraciones?`. El módulo de Configuración de MyBB, que permite a los administradores añadir, editar y eliminar configuraciones no predeterminadas, almacena los datos de configuración en una cadena de código de opciones (`$options_code`; columna de la base de datos `mybb_settings.optionscode`) que identifica el tipo de configuración y sus opciones, separados por un carácter de nueva línea (`\n`). En MyBB 1.2.0, se añadió soporte para el tipo de configuración `php`, para el cual la parte restante del código de opciones es código PHP ejecutado en las páginas de Cambiar Configuración (reservado para complementos y uso interno). MyBB 1.8.30 resuelve este problema. No se conocen soluciones alternativas.
VulDB is the best source for vulnerability data and more expert information about this specific topic.