Експерти з кібербезпеки виявили дві критичні вразливості у популярній системі керування форумами vBulletin, що становлять серйозну загрозу для тисяч веб-сайтів по всьому світу. Вразливості, зареєстровані під ідентифікаторами CVE-2025-48827 та CVE-2025-48828, отримали критичну оцінку 9.0 за шкалою CVSS, що свідчить про надзвичайно високий рівень ризику. Особливе занепокоєння викликає факт активної експлуатації однієї з вразливостей зловмисниками в реальних атаках.
Технічні деталі вразливостей
Виявлені вразливості впливають на версії vBulletin від 5.0.0 до 5.7.5 та від 6.0.0 до 6.0.3, що працюють на PHP 8.1 та новіших версіях. За даними дослідника Егідіо Романо (EgiX), основна проблема полягає у некоректній імплементації PHP Reflection API, що дозволяє обходити вбудовані механізми безпеки при виклику методів системи.
Механізм проведення атак
Зловмисники можуть використовувати вразливий метод replaceAdTemplate для впровадження шкідливого коду через спеціально сформовані HTTP-запити. Особливо небезпечною є можливість обходу вбудованих фільтрів безпеки шляхом маніпуляції змінними PHP, що потенційно надає віддалений доступ до сервера з правами виконання системних команд.
Поточна ситуація та виявлені спроби атак
Дослідник безпеки Райан Дьюхерст зафіксував активні спроби експлуатації вразливості CVE-2025-48827. Аналіз логів honeypot-систем виявив підозрілі запити до endpoint’у ajax/api/ad/replaceAdTemplate. Підтверджено щонайменше одну спробу впровадження PHP-бекдорів зловмисником з території Польщі.
Рекомендації щодо захисту
Розробники vBulletin випустили критичні оновлення безпеки: Patch Level 1 для версій 6.* та Patch Level 3 для версії 5.7.5. Адміністраторам форумів наполегливо рекомендується терміново встановити ці патчі, особливо на системах з прямим доступом з інтернету, оскільки експлойти для цих вразливостей вже доступні публічно.
Хоча наразі не зафіксовано підтверджених випадків успішного отримання повного віддаленого доступу до серверів через ці вразливості, високий рівень загрози вимагає негайних дій. Рекомендується впровадити комплексний підхід до захисту, включаючи постійний моніторинг підозрілої активності, своєчасне оновлення програмного забезпечення та налаштування додаткових рівнів захисту, таких як WAF та IPS-системи.
