Versões do vBulletin anteriores à 5.5.4 permitem ataque de clickjacking.
Tag: vBulletin
ASA-2019-00588 – vBulletin: Execução remota de código no endpoint updateAvatar
Um input do usuário transmitido pelos parâmetros "data[extension]" e "data[filedata]" para o terminal "ajax/api/user/updateAvatar" não é validado adequadamente antes de ser usada para atualizar o avatar do usuários. Isso pode ser explorado para injetar e executar código PHP arbitrário. A exploração bem-sucedida dessa vulnerabilidade requer que a opção "Save Avatars as Files" esteja ativada (desativada por padrão).
ASA-2019-00544 – vBulletin: Execução remota de código
As versões vBulletin 5.x até 5.5.4 permitem a execução remota de comandos através do parâmetro widgetConfig[code] em uma requisição de roteamento ajax/render/widget_php.