漏洞描述
vBulletin是一款强大、灵活且可完全根据用户需求定制的商业论坛程序(非开源),使用PHP脚本语言编写,并基于以高效和高速著称的数据库引擎MySQL。vBulletin的 /ajax/api/user/save 接口存在代码执行漏洞,允许未经身份验证的远程攻击者通过触发反序列化的HTTP请求执行任意代码。该漏洞的根本原因在于 verify_serialized 函数通过调用 unserialize 并检查错误来验证值是否已序列化。受影响的版本包括vBulletin 5.6.7、5.6.8和5.6.9。