Описание
vBulletin 5.0.0 through 5.7.5 and 6.0.0 through 6.0.3 allows unauthenticated users to invoke protected API controllers' methods when running on PHP 8.1 or later, as demonstrated by the /api.php?method=protectedMethod pattern, as exploited in the wild in May 2025.
Ссылки
- ExploitThird Party Advisory
- Third Party Advisory
- Broken Link
Уязвимые конфигурации
Конфигурация 1Версия от 5.0.0 (включая) до 5.7.5 (включая)Версия от 6.0.0 (включая) до 6.0.3 (включая)
Одно из
cpe:2.3:a:vbulletin:vbulletin:*:*:*:*:*:*:*:*
cpe:2.3:a:vbulletin:vbulletin:*:*:*:*:*:*:*:*
EPSS
Процентиль: 99%
0.73845
Высокий
10 Critical
CVSS3
9.8 Critical
CVSS3
Дефекты
CWE-424
Связанные уязвимости
CVSS3: 10
github
10 месяцев назад
vBulletin 5.0.0 through 5.7.5 and 6.0.0 through 6.0.3 allows unauthenticated users to invoke protected API controllers' methods when running on PHP 8.1 or later, as demonstrated by the /api.php?method=protectedMethod pattern.
CVSS3: 10
fstec
10 месяцев назад
Уязвимость коммерческого веб-форума vBulletin, связанная с неправильной защитой альтернативного пути, позволяющая нарушителю выполнить произвольный код
EPSS
Процентиль: 99%
0.73845
Высокий
10 Critical
CVSS3
9.8 Critical
CVSS3
Дефекты
CWE-424