关键信息 漏洞概述 CVE编号: CVE-2025-48828 描述: 某些vBulletin版本可能允许攻击者通过滥用模板引擎中的模板条件来执行任意PHP代码。通过在模板代码中使用替代的PHP函数调用语法(如 ),攻击者可以绕过安全检查并执行任意PHP代码。 基本信息 CVE状态: 已发布 预留日期: 2025年5月27日 发布日期: 2025年5月27日 最后更新: 2025年5月27日 厂商: vBulletin 产品: vBulletin CVSS评分 CVSS v3.1: 9.0 - CRITICAL 向量: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H SSVC信息 利用情况: 活跃 可自动化: 是 技术影响: 总体 利用状态 野外被利用: 是(添加于2025年5月26日) 概念验证可用: 是(添加于2025年5月23日) 参考链接 https://karmainsecurity.com/dont-call-that-protected-method-vbulletin-rce https://kevintel.com/CVE-2025-48828 时间线 概念验证利用可用: 2025年5月23日 CVE ID预留: 2025年5月27日 CVE公开发布: 2025年5月27日 添加到KEVIntel: 2025年5月27日