Раскрыта информация о неисправленной критической уязвимости (CVE-2019-16759) в движке для создания web-форумов vBulletin, позволяющей выполнить код на сервере через отправку специально оформленного POST-запроса. Для проблемы доступен рабочий эксплоит. vBulletin используется многими открытыми проектами, в том числе на базе данного движка работают форумы Ubuntu, openSUSE, BSD-систем и Slackware.
Уязвимость присутствует в обработчике "ajax/render/widget_php", который допускает передачу произвольного shell-кода через параметр "widgetConfig[code]" (просто передаётся код для запуска, даже не нужно ничего экранировать). Для атаки не требуется аутентификация в форуме. Проблема подтверждена во всех выпусках актуальной ветки vBulletin 5.x (развивается с 2012 года), включая самый свежий выпуск 5.5.4. Обновление с исправлением пока не подготовлено.