CVE-2026-39387 in BoidCMS
요약
\~에 의해 VulDB • 2026. 05. 09.
BoidCMS는 JSON을 데이터베이스로 사용하여 간단한 웹사이트와 블로그를 구축하기 위한 오픈소스 PHP 기반 플랫파일 CMS입니다. 2.1.3 버전 이전은 tpl 매개변수를 통해 치명적인 로컬 파일 포함(Local File Inclusion, LFI) 공격에 취약하며, 이로 인해 원격 코드 실행(RCE)으로 이어질 수 있습니다.
이 애플리케이션은 페이지 생성 및 업데이트 시 tpl(템플릿) 매개변수를 적절히 검증하지 않습니다. 이 매개변수는 경로 검증 없이 require_once() 문에 직접 전달됩니다. 인증된 관리자는 tpl 값에 경로 순회 시퀀스(../)를 주입하여 의도된 테마 디렉토리를 벗어나 임의의 파일, 특히 서버의 media/ 디렉토리에 있는 파일을 포함시킴으로써 이 취약점을 악용할 수 있습니다. 파일 업로드 기능과 결합되면 이는 완전한 RCE 체인으로 발전합니다. 공격자는 먼저 임베디드 PHP 코드가 포함된 파일(예: 이미지 데이터로 위장)을 업로드한 다음, 경로 순회 취약점을 사용하여 require_once()를 통해 해당 파일을 포함시켜 웹 서버 권한으로 임베디드 코드를 실행할 수 있습니다. 이 문제는 버전 2.1.3에서 수정되었습니다.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.