Il ricercatore di sicurezza Egidio Romano, noto anche come EgiX, ha recentemente pubblicato un’analisi approfondita su un exploit che colpisce le piattaforme vBulletin 5.x e 6.x, sfruttando una combinazione di due vulnerabilità (note come N-day): una novità introdotta in PHP 8.1+ relativa alla reflection API e una falla preesistente nel motore dei template di vBulletin. L’attacco permette l’esecuzione di codice arbitrario da remoto (RCE) senza autenticazione. L’origine dell’exploit: due vulnerabilità concatenate L’exploit descritto da Romano si basa sull’interazione tra due distinte vulnerabilità: Nel contesto dell’exploit analizzato da Egidio Romano (EgiX), la template injection consiste nel far sì che un contenuto controllato dall’utente