← voltar
CVE-2025-48828

CVE-2025-48828

CVSS 9 CRITICALEPSS 48.4%CWE-424
Certain vBulletin versions might allow attackers to execute arbitrary PHP code by abusing Template Conditionals in the template engine. By crafting template code in an alternative PHP function invocation syntax, such as the "var_dump"("test") syntax, attackers can bypass security checks and execute arbitrary PHP code, as exploited in the wild in May 2025.
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H
Produtos afetados
vBulletin · vBulletin
PoCs públicas encontradas2
githubgithub.com/ill-deed/vBulletin-CVE-2025-48828-Multi-target0cve_referenceblog.kevintel.com/vbulletin-replaceadtemplate-kev/não verificado
⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
https://blog.kevintel.com/vbulletin-replaceadtemplate-kev/https://karmainsecurity.com/dont-call-that-protected-method-vbulletin-rcehttps://kevintel.com/CVE-2025-48828