vBulletin 5.x through 5.5.4 allows remote command execution via the widgetConfig[code] parameter in an ajax/render/widget_php routestring request.
oryginał ENCVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HVbulletin
APPVbulletin5.0.0 – 5.5.4
CISA KEV — szczegółyi
- Dostawcai
- vBulletin
- Produkti
- vBulletin
- Data dodania do KEVi
- 3 listopada 2021
- Termin remediation (USA)i
- 3 maja 2022(po terminie)
Zastosuj aktualizacje zgodnie z instrukcjami producenta.
▸ Pokaż oryginał (EN)
Apply updates per vendor instructions.
Moduł PHP w programie vBulletin zawiera niezidentyfikowaną lukę, która umożliwia zdalne wykonanie kodu za pośrednictwem parametru widgetConfig[code] w żądaniu routestring ajax/render/widget_php.
▸ Pokaż oryginał (EN)
The PHP module within vBulletin contains an unspecified vulnerability that allows for remote code execution via the widgetConfig[code] parameter in an ajax/render/widget_php routestring request.
Powiązane podatności
vBulletin 5.5.4 through 5.6.2 allows remote command execution via crafted subWidgets data in an ajax/render/wi...
RCE w vBulletin poprzez Template Conditionals — wykonanie dowolnego kodu PHP
vBulletin — nieautoryzowany dostęp do chronionych metod API (RCE)
vBulletin before 5.6.9 PL1 allows an unauthenticated remote attacker to execute arbitrary code via a crafted H...
vBulletin 5.5.4 through 5.6.2 allows remote command execution via crafted subWidgets data in an ajax/render/wi...