CVE-2025-48828

Опубликовано: 27 мая 2025

Источник: nvd

CVSS3: 9

CVSS3: 8.1

EPSS Высокий

Описание

Certain vBulletin versions might allow attackers to execute arbitrary PHP code by abusing Template Conditionals in the template engine. By crafting template code in an alternative PHP function invocation syntax, such as the "var_dump"("test") syntax, attackers can bypass security checks and execute arbitrary PHP code, as exploited in the wild in May 2025.

Ссылки

https://karmainsecurity.com/dont-call-that-protected-method-vbulletin-rce
Exploit
Third Party Advisory
https://kevintel.com/CVE-2025-48828
Third Party Advisory
https://blog.kevintel.com/vbulletin-replaceadtemplate-kev/
Broken Link

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:vbulletin:vbulletin:6.0.3:*:*:*:*:*:*:*

EPSS

Процентиль: 99%

0.73998

Высокий

9 Critical

CVSS3

8.1 High

CVSS3

Дефекты

CWE-424

Связанные уязвимости

GHSA-58pj-rcxg-3vhg

CVSS3: 9

github

8 месяцев назад

BDU:2025-06791

CVSS3: 9

fstec

9 месяцев назад

Уязвимость коммерческого веб-форума vBulletin, связанная с неправильной защитой альтернативного пути, позволяющая нарушителю обойти существующие ограничения безопасности и выполнить произвольный код

EPSS

Процентиль: 99%

0.73998

Высокий

9 Critical

CVSS3

8.1 High

CVSS3

Дефекты

CWE-424