Sicherheitsforscher haben zwei kritische Schwachstellen in der weitverbreiteten Forensoftware vBulletin identifiziert. Die als CVE-2025-48827 und CVE-2025-48828 klassifizierten Sicherheitslücken wurden mit einem CVSS-Score von 9,0 bewertet, was auf ein erhebliches Bedrohungspotenzial hinweist. Besonders alarmierend ist die Tatsache, dass mindestens eine dieser Schwachstellen bereits aktiv von Angreifern ausgenutzt wird.
Technische Details der Sicherheitslücken
Die Verwundbarkeiten betreffen vBulletin-Installationen der Versionen 5.0.0 bis 5.7.5 sowie 6.0.0 bis 6.0.3, die auf PHP 8.1 oder höher laufen. Der Sicherheitsforscher Egidio Romano (EgiX) identifizierte eine fehlerhafte Implementierung der PHP Reflection API als Hauptursache. Diese Schwachstelle ermöglicht es Angreifern, bestehende Sicherheitsmechanismen bei Methodenaufrufen zu umgehen.
Angriffsszenario und Exploitationsmethoden
Die kritischste Schwachstelle liegt in der replaceAdTemplate-Methode, die durch speziell präparierte HTTP-Anfragen manipuliert werden kann. Besonders gefährlich ist die Möglichkeit, integrierte Sicherheitsfilter durch die Verwendung von PHP-Variablen zu umgehen. Dies könnte Angreifern potenziell Remote Code Execution (RCE) mit Systemrechten ermöglichen.
Aktuelle Bedrohungslage
Der Sicherheitsexperte Ryan Dewhurst dokumentierte bereits aktive Exploitationsversuche der CVE-2025-48827-Schwachstelle. Analysen von Honeypot-Systemen zeigen verdächtige Anfragen an den ajax/api/ad/replaceAdTemplate-Endpunkt. Ein identifizierter Angreifer aus Polen versuchte nachweislich, PHP-Backdoors zu implementieren, um dauerhafte Systemkontrolle zu erlangen.
Schutzmaßnahmen und Handlungsempfehlungen
Die vBulletin-Entwickler haben Sicherheitsupdates veröffentlicht: Patch Level 1 für Version 6.* und Patch Level 3 für Version 5.7.5. Administratoren wird dringend empfohlen, diese Patches umgehend zu installieren. Zusätzliche Schutzmaßnahmen umfassen:
– Implementierung von Web Application Firewalls (WAF)
– Aktivierung von erweiterten Logging-Mechanismen
– Regelmäßige Überprüfung der Systemlogs auf verdächtige Aktivitäten
– Härtung der PHP-Konfiguration
Die Situation erfordert unmittelbares Handeln seitens der Forenbetreiber. Auch wenn bisher keine erfolgreichen Kompromittierungen bestätigt wurden, macht die Kombination aus öffentlich verfügbaren Exploits und dem hohen Schweregrad der Schwachstellen schnelles Handeln unerlässlich. Experten empfehlen neben der Installation der Sicherheitsupdates auch die Implementierung mehrschichtiger Sicherheitsmaßnahmen zur Risikominimierung.
