资安业者Karma(In)Security于5月23日揭露两个位于vBulletin的资安漏洞,同时释出概念性验证攻击程式,另一资安研究人员Ryan Dewhurst在5月26日便发现骇客已开始尝试攻击他的诱捕系统(Honeypot),企图植入后门。
在2000年由Jelsoft以PHP程式语言所开发的vBulletin,是个商业化的网路论坛软体套件,它在2007年出售给Internet Brands,一直是市场上最知名的论坛解决方案之一,透过Fofa搜寻可以找到网路上有超过2.6万个公开的vBulletin论坛。
资安业者所发现的两个资安漏洞分别是CVE-2025-48827与CVE-2025-48828,其中,CVE-2025-48827是在系统运行于PHP 8.1或更新的环境时,允许未经授权的使用者可呼叫受保护的API控制器,换句话说,它让骇客得以绕过身分验证,直接存取各种API端点。该漏洞的CVSS风险评分为满分(10)。
至于CVE-2025-48828则允许骇客滥用模板条件(Template Conditionals),绕过系统安全检查并执行任意PHP程式码,其CVSS风险评分为9。这两个漏洞波及vBulletin 5.0.0至5.7.5,以及vBulletin 6.0.0至 6.0.3。
除了概念性验证程式在23日就出炉之外,用来扫描相关漏洞的Nuclei模板亦于24日发布,因此,Dewhurst的诱捕系统在26日就发现攻击行动也就不那么令人意外了。
不过,其实Internet Brands早在去年4月就修补了这两个漏洞,只是它们一直到今年才被揭露与分配CVE漏洞编号,有按时修补的用户应该不必担心。