Keine Ahnung, ob das hier richtig ist, aber es passte am besten. Ich habe gerade in einer Mailingsliste eine Mail mit folgendem Zitat erhalten:

...Aber viele vBulletin Foren (Und nicht nur diese) weisen derzeit starke
Sicherheitsmängel auf.

Es lässt sich HTML-Coder, der sich im Beitragstitel befindet, direkt
ausführen. So kam in einem meiner Titel ein <div> tag vor, der in dem
Modul nicht zu sehen war. So könnte ich auch ein paar <br /> tags
implementieren, oder, noch schlimmer, einen <?php tag. Das hätte
verhärende Folgen, ich hätte durch PHP direkten Zugriff auf die Shell.


Ist das was dran, wenn ja, ist es bereits bekannt und wird daran gearbeitet?

eigene benutzertitel werden IMO in html-code umgewandelt und damit wird wie hier <?php einfach nur angezeigt als text

als admin kann man hier jedoch in formatierungsfeld im ACP vieles einstellen, aber dieser könnte das template selbst ja auch direkt bearbeiten oder den code gleich in einer datei auf dem server ausführen :D