В популярной движке для создания web-форумов vBulletin обнаружена уязвимость, по своей сути больше напоминающая троянскую закладку.

При вводе в форме поиска FAQ-модуля ключевого слова "database" на экран выводится информация о параметрах подключения к MySQL серверу (хост, порт, имя БД, логин, пароль). В случае, если доступ к MySQL серверу не ограничен локальным хостом, злоумышленник может легко удаленно подключить к базе данных форума. Проблема устранена в vBulletin 3.8.6-PL1, патч можно загрузить здесь. По заявлению разработчиков подобная уязвимость была вызвана недосмотром - разработчики забыли убрать отладочный код.

Источник