Aktívne zneužívané kritické zraniteľnosti v platforme vBulletin

Bezpečnostní výskumníci zverejnili informácie o aktívne zneužívaných kritických zraniteľnostiach v redakčnom systéme pre tvorbu online fór vBulletin. CVE-2025-48827 a CVE-2025-48828 by vzdialený neautentifikovaný útočník mohol zneužiť na volanie chránených metód a vzdialené vykonanie kódu.

Zraniteľné systémy:

  • vBulletin vo verziách 5.0.0 až 5.7.5
  • vBulletin vo verziách 6.0.0 až 6.0.3

Pozn.: Zraniteľnosti je možné zneužiť len na systémoch, kde vBulletin beží na PHP vo verzii 8.1 alebo novšej.

Opis zraniteľnosti:

CVE-2025-48827 (CVSSv3 skóre 10,0)

Kritická zraniteľnosť spočíva v nesprávnom využití PHP Reflecion API, ktoré kvôli zmenám zavedeným v PHP vo verziách od 8.1 možno zneužiť na volanie chránených metód API. Zraniteľnosť by vzdialený neautentifikovaný útočník mohol zneužiť navštívením špeciálne vytvorených URL v tvare /api.php?method=chranenaMetoda.

CVE-2025-48828 (CVSSv3 skóre 9,0)

Kritická zraniteľnosť sa nachádza v nástroji pre spracovanie vzorov a vzdialený neautentifikovaný útočník by ju podvrhnutím špeciálne vytvoreného vzoru obsahujúceho Template Conditionals mohol zneužiť na vzdialené vykonanie kódu PHP.

Pozn.: Zraniteľnosti sú aktívne zneužívané minimálne od mája 2025. Výrobca podľa spoločnosti Karma(In)Security vydal aktualizácie už v apríli 2024, ale bez poskytnutia bližších informácií. V súčasnosti zostáva veľké množstvo neaktualizovaných inštancií zraniteľných.

Možné škody:

  • Vzdialené vykonanie kódu
  • Úplné narušenie dôvernosti, integrity a dostupnosti systému

Odporúčania:

Administrátorom odporúčame vykonať bezodkladnú aktualizáciu verzií 6.x na Patch Level 1, verzie 5.7.5 na Patch Level 3, alebo prejsť na najnovšiu verziu 6.1.2. Odporúčame tiež preveriť logy vBulletin, sieťových a bezpečnostných prvkov na prítomnosť pokusov o zneužitie zraniteľností.

Zdroje: