Специалисты по информационной безопасности выявили две критические уязвимости в популярном форумном движке vBulletin, получившие идентификаторы CVE-2025-48827 и CVE-2025-48828. Обе проблемы оценены в 9 баллов по шкале CVSS, что указывает на чрезвычайно высокий уровень угрозы. Особую обеспокоенность вызывает тот факт, что одна из уязвимостей уже активно эксплуатируется злоумышленниками.
Технический анализ уязвимостей
Обнаруженные уязвимости затрагивают версии vBulletin от 5.0.0 до 5.7.5 и от 6.0.0 до 6.0.3, работающие на PHP 8.1 и более поздних версиях. Независимый исследователь Эгидио Романо (EgiX) установил, что основная проблема связана с некорректной реализацией PHP Reflection API, позволяющей обходить механизмы защиты при вызове методов.
Механизм эксплуатации
Атакующие могут использовать уязвимый метод replaceAdTemplate для внедрения вредоносного кода через специально сформированные URL-запросы. Особенно опасным является возможность обхода встроенных фильтров безопасности путем использования переменных PHP, что потенциально позволяет получить удаленный доступ к серверу с правами выполнения команд.
Текущая ситуация и первые атаки
Исследователь безопасности Райан Дьюхерст зафиксировал активные попытки эксплуатации CVE-2025-48827. Анализ логов ханипота выявил подозрительные запросы к эндпоинту ajax/api/ad/replaceAdTemplate. Установлено, что как минимум один злоумышленник из Польши пытался внедрить PHP-бэкдоры для получения контроля над системой.
Меры защиты и рекомендации
Разработчики vBulletin уже выпустили исправления в рамках Patch Level 1 для версий 6.* и Patch Level 3 для версии 5.7.5. Администраторам форумов настоятельно рекомендуется незамедлительно установить обновления безопасности. Особенно критично это для систем, доступных из интернета, так как эксплойты для этих уязвимостей уже находятся в публичном доступе.
На данный момент нет подтверждённых случаев успешной эксплуатации уязвимостей для получения полного удалённого доступа к серверам. Однако, учитывая высокую критичность проблем и наличие публичных эксплойтов, рекомендуется принять превентивные меры защиты, включая мониторинг подозрительной активности и своевременное обновление программного обеспечения.