O vbullletin é um software usado em fóruns, feito em PHP, para o qual foi descoberta uma falha bastante crítica que permite a execução de código de forma remota.

O hacker publicou um exploit em python que, de acordo com os investigadores, funciona, e deixa inúmeros sistemas vulneráveis enquanto não for lançada uma correção;

A falha do software está na validação inapropriada do diretório ajax/render/widget.php aquando do processamento de dados provenientes do widgetConfig[code], parâmetro de um POST por HTTP.

O atacante não precisa de ter conta ou estar autenticado no sistema para explorar a falha, simplesmente precisa de mandar este pedido especial.

Versões afetadas

Desde a 5.00 à 5.5.4

Mais informações: https://www.zdnet.com/article/anonymous-researcher-drops-vbulletin-zero-day-impacting-tens-of-thousands-of-sites/