CVE-2022-24734 in MyBB정보

요약

\~에 의해 VulDB • 2026. 07. 08.

MyBB는 무료 및 오픈 소스 포럼 소프트웨어입니다. 영향을 받는 버전에서 Admin CP의 설정 관리 모듈은 삽입 및 업데이트 시 설정 유형을 올바르게 검증하지 않아, PHP 코드가 포함된 지원되는 형식 `php` 의 설정을 추가할 수 있게 되며, 이는 _설정 변경_ 페이지에서 실행됩니다. 이로 인해 원격 코드 실행(RCE) 취약점이 발생합니다. 이 취약한 모듈은 `Can manage settings?` 권한이 부여된 Admin CP 접근이 필요합니다. MyBB의 설정 모듈(관리자가 기본값이 아닌 설정을 추가, 편집 및 삭제할 수 있도록 함)은 설정 유형과 해당 옵션을 식별하는 options 코드 문자열($options_code; mybb_settings.optionscode 데이터베이스 열)에 설정 데이터를 저장하며, 이는 개행 문자(\n)로 구분됩니다. MyBB 1.2.0에서는 PHP 코드가 실행되는 설정 형식 php가 추가되었으며(플러그인 및 내부 용도로 예약됨), 이 경우 options 코드의 나머지 부분이 _설정 변경_ 페이지에서 실행됩니다. MyBB 1.8.30은 이 문제를 해결합니다. 알려진 우회 방법은 없습니다.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

책임이 있는

GitHub, Inc.

예약하다

2022. 02. 10.

모더레이션

수락

항목

VDB-194468

익스플로잇

다운로드

EPSS

0.77677

출처

Do you know our Splunk app?

Download it now for free!