La comunidad de ciberseguridad ha identificado dos vulnerabilidades críticas en el popular sistema de foros vBulletin, clasificadas como CVE-2025-48827 y CVE-2025-48828. Ambas han recibido una puntuación de 9.0 en la escala CVSS, indicando un nivel de riesgo extremadamente elevado. La situación se ha vuelto especialmente preocupante tras confirmarse que una de estas vulnerabilidades ya está siendo explotada activamente por atacantes.
Detalles técnicos de las vulnerabilidades
Las vulnerabilidades afectan a las versiones de vBulletin desde 5.0.0 hasta 5.7.5 y desde 6.0.0 hasta 6.0.3, específicamente en sistemas que ejecutan PHP 8.1 o superior. El investigador Egidio Romano (EgiX) ha identificado que el problema principal radica en una implementación defectuosa del PHP Reflection API, permitiendo la evasión de los mecanismos de seguridad durante la invocación de métodos.
Vector de ataque y riesgos potenciales
Los atacantes pueden explotar el método vulnerable replaceAdTemplate para inyectar código malicioso mediante peticiones URL específicamente diseñadas. La capacidad de eludir los filtros de seguridad integrados mediante variables PHP representa una amenaza significativa, ya que podría permitir la ejecución remota de comandos en el servidor afectado.
Evidencia de ataques en curso
El investigador Ryan Dewhurst ha documentado intentos activos de explotación del CVE-2025-48827. Los análisis de honeypots han revelado patrones sospechosos de solicitudes dirigidas al endpoint ajax/api/ad/replaceAdTemplate, incluyendo intentos desde Polonia para implementar backdoors en PHP.
Medidas de mitigación recomendadas
Los desarrolladores de vBulletin han liberado parches de seguridad: Patch Level 1 para las versiones 6.* y Patch Level 3 para la versión 5.7.5. Se insta a los administradores de foros a implementar estas actualizaciones de manera inmediata, especialmente en sistemas expuestos a Internet, dado que los exploits ya están circulando públicamente.
Aunque hasta el momento no se han confirmado compromisos exitosos que hayan resultado en acceso remoto completo, la criticidad de estas vulnerabilidades y la disponibilidad de exploits públicos requieren acción inmediata. Se recomienda implementar un sistema de monitorización continua, mantener copias de seguridad actualizadas y establecer procedimientos de respuesta a incidentes como parte de una estrategia integral de seguridad.
