Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-06791

Опубликовано: 23 мая 2025
Источник: fstec
CVSS3: 9
CVSS2: 7.6
EPSS Средний

Описание

Уязвимость коммерческого веб-форума vBulletin связана с неправильной защитой альтернативного пути. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти существующие ограничения безопасности и выполнить произвольный код

Вендор

vBulletin
PHP Group

Наименование ПО

vBulletin
PHP

Версия ПО

от 5.0.0 до 5.7.5 включительно (vBulletin)
от 6.0.0 до 6.0.3 включительно (vBulletin)
8.1 (PHP)

Тип ПО

Сетевое средство
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,6)
Критический уровень опасности (базовая оценка CVSS 3.1 составляет 9)

Возможные меры по устранению уязвимости

Компенсирующие меры:
- проверка динамического отражения методов на ограничение доступа;
- использование верисии PHP 8.0 или ниже;
- отключение Reflection API для API-маршрутов;
- ограничение доступа к /ajax/api/ (использование.htaccess (Apache) или Nginx);
- использование SIEM-систем для включения в правила корреляции индикаторов компрометации.

Статус уязвимости

Потенциальная уязвимость

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Информация об устранении отсутствует

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 99%
0.68058
Средний

9 Critical

CVSS3

7.6 High

CVSS2

Связанные уязвимости

nvd логотип

CVE-2025-48828

CVSS3: 9
nvd
3 месяца назад

Certain vBulletin versions might allow attackers to execute arbitrary PHP code by abusing Template Conditionals in the template engine. By crafting template code in an alternative PHP function invocation syntax, such as the "var_dump"("test") syntax, attackers can bypass security checks and execute arbitrary PHP code, as exploited in the wild in May 2025.

github логотип

GHSA-58pj-rcxg-3vhg

CVSS3: 9
github
3 месяца назад

Certain vBulletin versions might allow attackers to execute arbitrary PHP code by abusing Template Conditionals in the template engine. By crafting template code in an alternative PHP function invocation syntax, such as the "var_dump"("test") syntax, attackers can bypass security checks and execute arbitrary PHP code.

EPSS

Процентиль: 99%
0.68058
Средний

9 Critical

CVSS3

7.6 High

CVSS2