Описание
Уязвимость коммерческого веб-форума vBulletin связана с ошибками управления генерацией кода. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольные команды с помощью специально созданного параметра widgetConfig[code] в сценарии ajax/render/widget_php
Вендор
vBulletin
Наименование ПО
vBulletin
Версия ПО
от 5.5.0 до 5.5.4 включительно (vBulletin)
Тип ПО
Сетевое средство
Операционные системы и аппаратные платформы
-
Уровень опасности уязвимости
Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,5)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)
Возможные меры по устранению уязвимости
Использование рекомендаций:
https://forum.vbulletin.com/forum/vbulletin-announcements/vbulletin-announcements_aa/4422707-vbulletin-security-patch-released-versions-5-5-2-5-5-3-and-5-5-4
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Существует в открытом доступе
Информация об устранении
Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 100%
0.94407
Критический
9.8 Critical
CVSS3
7.5 High
CVSS2
Связанные уязвимости
CVSS3: 9.8
nvd
больше 6 лет назад
vBulletin 5.x through 5.5.4 allows remote command execution via the widgetConfig[code] parameter in an ajax/render/widget_php routestring request.
CVSS3: 9.8
github
больше 3 лет назад
vBulletin 5.x through 5.5.4 allows remote command execution via the widgetConfig[code] parameter in an ajax/render/widget_php routestring request.
EPSS
Процентиль: 100%
0.94407
Критический
9.8 Critical
CVSS3
7.5 High
CVSS2