vBulletin Pre-Auth RCE CVE-2025-49113
Uma vulnerabilidade CRÍTICA de Execução Remota de Código (RCE) pré-autenticação foi descoberta afetando as versões 5.x e 6.x do vBulletin.
A correção para essa falha foi lançada recentemente na Version 5.0.7 (12/05/2025), e a exposição pública via CVE ocorreu em 14/05/2025.
A vulnerabilidade reside na forma como o vBulletin processa chamadas à sua API através do /ajax/api/[controller]/[method]. Uma mudança no comportamento da API de Reflection do PHP (a partir da versão 8.1) permite a invocação não intencional de métodos internos (protected) do vBulletin.
Essa capacidade, quando combinada com uma falha existente no motor de templates, possibilita que um atacante remoto e não autenticado injete código PHP malicioso, 👉 levando à execução arbitrária de comandos no servidor.
A exploração não requer nenhuma credencial, tornando todos os sistemas vBulletin vulneráveis acessíveis pela internet alvos fáceis.
Contexto técnico: https://karmainsecurity.com/dont-call-that-protected-method-vbulletin-rce Don’t Call That “Protected” Method: Dissecting an N-Day vBulletin RCE | Karma(In)Security