漏洞描述:
vBulletin 版本 5.0.0 到 6.0.3 在 ajax/api/ad/replaceAdTemplate 端点中包含一个远程代码执行 (RCE) 漏洞。此缺陷是由于不当使用 PHP 的 Reflection API 引起的,允许未经身份验证的攻击者调用受保护的控制器方法。通过注入构建的 <vb:if> 条件,通过 passthru($_POST[]) 执行任意 PHP 代码 <param>,并通过对 ajax/render/ad_ 的第二个请求触发它 <location>,攻击者可以以 Web 服务器用户的身份在服务器上运行任意命令。
