CVE-2022-24734 in MyBB
요약
\~에 의해 VulDB • 2026. 07. 08.
MyBB는 무료 및 오픈 소스 포럼 소프트웨어입니다. 영향을 받는 버전에서 Admin CP의 설정 관리 모듈은 삽입 및 업데이트 시 설정 유형을 올바르게 검증하지 않아, PHP 코드가 포함된 지원되는 형식 `php` 의 설정을 추가할 수 있게 되며, 이는 _설정 변경_ 페이지에서 실행됩니다. 이로 인해 원격 코드 실행(RCE) 취약점이 발생합니다. 이 취약한 모듈은 `Can manage settings?` 권한이 부여된 Admin CP 접근이 필요합니다. MyBB의 설정 모듈(관리자가 기본값이 아닌 설정을 추가, 편집 및 삭제할 수 있도록 함)은 설정 유형과 해당 옵션을 식별하는 options 코드 문자열($options_code; mybb_settings.optionscode 데이터베이스 열)에 설정 데이터를 저장하며, 이는 개행 문자(\n)로 구분됩니다. MyBB 1.2.0에서는 PHP 코드가 실행되는 설정 형식 php가 추가되었으며(플러그인 및 내부 용도로 예약됨), 이 경우 options 코드의 나머지 부분이 _설정 변경_ 페이지에서 실행됩니다. MyBB 1.8.30은 이 문제를 해결합니다. 알려진 우회 방법은 없습니다.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.