攻击者可利用vBulletin论坛平台漏洞执行远程代码

网络安全研究人员近日披露vBulletin论坛平台存在高危远程代码执行漏洞，影响5.x至6.0.3版本。该漏洞源于PHP 8.1版本反射API特性变更，攻击者可通过动态路由机制直接调用受保护的内部方法，突破系统安全边界。具体利用链涉及vB_Api_Ad::replaceAdTemplate方法，攻击者构造恶意HTTP请求注入含vb:if标签的广告模板，结合模板引擎过滤缺陷，利用变量函数调用执行任意PHP代码，最终在未授权状态下获取服务器控制权。