CVE-2022-24734 in MyBBinformación

Resumen

por VulDB • 2026-06-13

MyBB es un software de foros gratuito y de código abierto. En las versiones afectadas, el módulo de gestión de configuración del Panel de Administración (Admin CP) no valida correctamente los tipos de configuración durante la inserción y la actualización, lo que permite añadir configuraciones del tipo soportado `php` con código PHP, que se ejecuta en las páginas de _Cambiar Configuración_. Esto da lugar a una vulnerabilidad de Ejecución Remota de Código (RCE). El módulo vulnerable requiere acceso al Panel de Administración con el permiso `¿Puede gestionar configuraciones?`. El módulo de Configuración de MyBB, que permite a los administradores añadir, editar y eliminar configuraciones no predeterminadas, almacena los datos de configuración en una cadena de código de opciones (`$options_code`; columna de la base de datos `mybb_settings.optionscode`) que identifica el tipo de configuración y sus opciones, separados por un carácter de nueva línea (`\n`). En MyBB 1.2.0, se añadió soporte para el tipo de configuración `php`, para el cual la parte restante del código de opciones es código PHP ejecutado en las páginas de Cambiar Configuración (reservado para complementos y uso interno). MyBB 1.8.30 resuelve este problema. No se conocen soluciones alternativas.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsable

GitHub, Inc.

Reservar

2022-02-10

Divulgación

2022-03-10

Moderación

aceptado

Artículo

VDB-194468

CPE

listo

Explotación

Descargar

EPSS

0.77677

KEV

no

Actividades

muy bajo

Fuentes

Do you want to use VulDB in your project?

Use the official API to access entries easily!