vBulletin is a popular PHP forum software used to build online communities. vBulletin versions before 5.5.6 Patch Level 1, version 5.6.0 before 5.6.0 Patch Level 1 and version 5.6.1 before 5.6.1 Patch Level 1 suffer from a SQL injection vulnerability through the 'nodeId' parameter in the getIndexableContent ajax function. A remote, unauthenticated attacker can exploit this issue to takeover the forum administrator account and achieve remote code execution on the target host.

vBulletin 是一種受歡迎的 PHP 論壇軟體，用來建立線上社群。vBulletin 5.5.6 Patch Level 1 之前版本、5.6.0 的 5.6.0 Patch Level 1 版本和 5.6.1 的 5.6.1 Patch Level 1 之前版本受到 getIndexableContent ajax 函式的 'nodeId' 參數中的 SQL 插入弱點影響。未經驗證的遠端攻擊者可利用此問題來接管論壇管理員帳戶，並在目標主機上執行遠端程式碼。

vBulletin は、オンラインコミュニティの構築に使用される人気のある PHP フォーラムソフトウェアです。 5.5.6 パッチレベル 1 より前の vBulletin バージョン、5.6.0 パッチレベル 1 より前のバージョン 5.6.0、および 5.6.1 パッチレベル 1 より前のバージョン 5.6.1 は、getIndexableContent ajax 関数の「nodeId」パラメーターによる SQL インジェクションの脆弱性の影響を受けます。認証されていないリモートの攻撃者がこの問題を悪用して、フォーラム管理者アカウントを乗っ取り、ターゲットホストでリモートコードの実行を引き起こす可能性があります。

vBulletin 是一种用于构建在线社区的常用 PHP 论坛软件。 vBulletin 低于 5.5.6 修补程序级别 1 的版本、低于 5.6.0 修补程序级别 1 的 5.6.0 版、低于 5.6.1 修补程序级别 1 的 5.6.1 版均会受到 SQL 注入漏洞影响，可通过 getIndexableContent ajax 函数中的“nodeId”参数实现。未经身份验证的远程攻击者可利用此问题来接管论坛管理员帐户，并在目标主机上实现远程代码执行。

リモートホストで実行されているvBulletinのバージョンは、SQLインジェクションを許可するcontent_infraction/getIndexableContent APIにおける入力検証の欠陥によって影響を受けます。これは、管理者権限を取得し、リモートコードを実行するために攻撃者によって悪用される可能性があります。

The version of vBulletin running on the remote host is affected by an input-validation flaw in the content_infraction/getIndexableContent API that allows for SQL injection. This can be levereged by an attacker to obtain administrator privileges leading to remote code execution.

远程主机上运行的vBulletin版本受到content_in分数式/ getIndexableContent API中的输入验证缺陷的影响，此缺陷允许SQL注入。攻击者可利用此问题获取管理员权限，从而导致远程代码执行。

遠端主機上執行的 vBulletin 版本受到 content_infraction/getIndexableContent API 中允許 SQL 插入的輸入驗證缺陷影響。攻擊者可利用此弱點，取得導致遠端程式碼執行的系統管理員權限。

ID	名前	製品	ファミリー	公開日	更新日	深刻度
112440	vBulletin < 5.5.6 Patch Level 1 / 5.6.0 < 5.6.0 Patch Level 1 / 5.6.1 < 5.6.1 Patch Level 1 SQL Injection Vulnerability	Web App Scanning	Component Vulnerability	2020/6/10	2021/9/7	critical
112440	vBulletin < 5.5.6 Patch Level 1 / 5.6.0 < 5.6.0 Patch Level 1 / 5.6.1 < 5.6.1 Patch Level 1 SQL 插入弱點	Web App Scanning	Component Vulnerability	2020/6/10	2021/9/7	critical
112440	vBulletin < 5.5.6 パッチレベル 1 / 5.6.0 < 5.6.0 パッチレベル 1 / 5.6.1 < 5.6.1 パッチレベル 1 SQL インジェクションの脆弱性	Web App Scanning	Component Vulnerability	2020/6/10	2021/9/7	critical
112440	vBulletin < 5.5.6 修补程序级别 1/ 5.6.0 < 5.6.0 修补程序级别 1/ 5.6.1 < 5.6.1 修补程序级别 1 SQL 注入漏洞	Web App Scanning	Component Vulnerability	2020/6/10	2021/9/7	critical
136613	vBulletin 'getIndexableContent' SQLインジェクション（直接チェック）	Nessus	CGI abuses	2020/5/15	2024/6/4	critical
136613	vBulletin 'getIndexableContent' SQL Injection (direct check)	Nessus	CGI abuses	2020/5/15	2024/6/4	critical
136613	vBulletin“ getIndexableContent” SQL注入（直接检查）	Nessus	CGI abuses	2020/5/15	2024/6/4	critical
136613	vBulletin「getIndexableContent」SQL 插入 (直接檢查)	Nessus	CGI abuses	2020/5/15	2024/6/4	critical

検出

プラグインの検索

critical

critical

critical

critical

critical

critical

critical

critical