Se han descubierto dos vulnerabilidades críticas que afectan el software del foro de vBulletin de código abierto, confirmó una persona como explotada activamente en la naturaleza.
Fallas, seguidas debajo CVE-2025-48827 Y CVE-2025-48828y crítico crítico (puntaje CVSS V3: 10.0 y 9.0 respectivamente), son una invocación del método API y una ejecución de código distante (RCE) a través de defectos de abuso de ingeniería.
Tienen un impacto en las versiones VBuletin 5.0.0 a 5.7.5 y 6.0.0 a 6.0.3 cuando la plataforma se ejecuta en PHP 8.1 o posterior.
Las vulnerabilidades probablemente se corrigieron silenciosamente el año pasado con el lanzamiento del nivel de corrección 1 para todas las versiones de la Rama 6. * Liberación de la versión 5.7.5 Nivel 3, pero muchos sitios permanecieron expuestos debido a los no nivelados.
POC Operación pública y activa
Los dos números fueron descubiertos el 23 de mayo de 2025 por el investigador de seguridad Egidio Romano (Egix), quien explicó cómo explotarlo a través de un artículo técnico detallado en su blog.
El investigador ha demostrado que el defecto radica en el uso inadecuado por vbuletina de la API de reflexión de PHP, que, debido a los cambios de comportamiento introducidos en PHP 8.1, permite llamar a métodos protegidos sin ajustes de accesibilidad explícitos.
La cadena de vulnerabilidad se encuentra en la capacidad de invocar métodos protegidos a través de URL fabricadas y el uso abusivo de las condiciones del modelo dentro del motor del modelo VBuletin.
Al inyectar el código del modelo artesanal utilizando el método vulnerable “Reemplazar la plantilla”, los atacantes omiten los filtros “función inmunda” utilizando consejos como llamadas de función variable PHP.
El resultado es una ejecución de código totalmente distante y no autenticada en el servidor subyacente que otorga acceso efectivo a los shells de ataque como un usuario del servidor web (datos www en Linux, por ejemplo).
26 de mayo, investigador de seguridad Ryan Dewhurst informó Consulte los intentos de operar en macetas de miel que muestran solicitudes de las solicitudes de punto de terminal “AJAX / API / AD / REMPACEADTEMPLATE”.
Fuente: blog.kevintel.com
Dewhurst volvió sobre uno de los atacantes en Polonia, viendo intentos de implementar baños BHP para ejecutar los controles del sistema.
El investigador señaló que los ataques parecen aprovechar la hazaña publicada anteriormente por Romano, aunque ha habido modelos de núcleos disponibles para la falla desde el 24 de mayo de 2025.
Es importante especificar que Dewhurst solo observó los intentos de explotar para CVE-2025-48827, pero no hay evidencia, sin embargo, que los atacantes lo encadenaron con éxito la RCE completa, aunque esto es muy probable.
Vbuletin desalentadores
VBuletin es una de las plataformas de ventas PHP / MySQL más utilizadas, alimentando a miles de comunidades en línea del mundo.
Su diseño modular, incluidas las API móviles y las interfaces AJAX, lo convierte en una plataforma compleja y flexible. Sin embargo, también expone una gran superficie de ataque.
En el pasado, los piratas han aprovechado los defectos serios de la plataforma para infligir foros populares y robar datos confidenciales de una gran cantidad de usuarios.
Se recomienda a los administradores del foro para aplicar actualizaciones de seguridad para su instalación de Vbletin o ir a la última versión, versión 6.1.1, que no se ve afectada por dichos defectos.
Basado en un análisis de las acciones maliciosas de 14 millones, descubra las 10 técnicas principales ATTR & CK con el 93% de los ataques y cómo defenderse contra ellos.