黑客正在利用 vBulletin 论坛软件中的严重缺陷

xylon

已发现两个影响开源论坛软件 vBulletin 的关键漏洞，其中一个已确认在野外被积极利用。
根据 CVE-2025-48827 和 CVE-2025-48828 进行跟踪并被评为严重（CVSS v3 评分分别为 10.0 和 9.0）的漏洞是 API 方法调用和通过模板引擎滥用缺陷进行的远程代码执行 （RCE）。
当平台在 PHP 8.1 或更高版本上运行时，它们会影响 vBulletin 版本 5.0.0 到 5.7.5 和 6.0.0 到 6.0.3。
这些漏洞可能在去年悄悄地修补了 6.* 版本分支的所有版本补丁级别 1 和 5.7.5 补丁级别 3，但由于未升级，许多网站仍然暴露在外。
公共 PoC 和主动利用
这两个问题是由 2025 年 5 月 23 日由安全研究员 Egidio Romano （EgiX） 发现的，他通过博客上的详细技术文章解释了如何利用它。
研究人员指出，该漏洞在于 vBulletin 滥用 PHP 的反射 API，由于 PHP 8.1 中引入的行为更改，该 API 允许调用受保护的方法，而无需进行明确的可访问性调整。
漏洞链在于通过构建的 URL 调用受保护方法的能力，以及 vBulletin 模板引擎中模板条件的滥用。
通过使用易受攻击的“replaceAdTemplate”方法注入构建的模板代码，攻击者使用 PHP 变量函数调用等技巧绕过“不安全函数”过滤器。
这会导致在底层服务器上完全远程、未经身份验证的代码执行，从而有效地授予攻击者作为 Web 服务器用户（例如 Linux 上的 www-data）的 shell 访问权限。
5 月 26 日，安全研究员 Ryan Dewhurst 报告称，在蜜罐日志上看到漏洞利用尝试，显示对易受攻击的“ajax/api/ad/replaceAdTemplate”端点的请求。

原文：https://www.bleepingcomputer.com ... tin-forum-software/