漏洞标题
N/A
漏洞描述信息
对于vBulletin 3.0.6及更早版本,启用“在HTML注释中添加模板名称”功能时,允许远程攻击者通过模板参数中的嵌套变量执行任意PHP代码。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
misc.php for vBulletin 3.0.6 and earlier, when "Add Template Name in HTML Comments" is enabled, allows remote attackers to execute arbitrary PHP code via nested variables in the template parameter.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
vBulletin misc.php template名远程代码注入漏洞
漏洞描述信息
vBulletin是一款开放源代码PHP论坛程序。 vBulletin对用户提交的template名输入缺少充分过滤,远程攻击者可以利用这个漏洞进行代码注入攻击,以Web进程的权限执行任意命令。 在当Add Template Name in HTML Comments功能开启的时候,用户可以提交恶意代码给template变量值,从而执行任意代码或获得敏感信息。
CVSS信息
N/A
漏洞类别
授权问题