دو آسیب‌پذیری بحرانی در نرم‌افزار انجمن متن‌باز vBulletin کشف شده که یکی از آنها به طور فعال در حال سوءاستفاده است. این نقص‌ها با شناسه‌های CVE-2025-48827 و CVE-2025-48828 ثبت شده و با امتیاز بحرانی CVSS نسخه 3 به ترتیب 10.0 و 9.0 رتبه‌بندی شده‌اند.

این آسیب‌پذیری‌ها شامل فراخوانی متد API و اجرای کد از راه دور (RCE) از طریق سوءاستفاده از موتور قالب هستند. نسخه‌های vBulletin از 5.0.0 تا 5.7.5 و 6.0.0 تا 6.0.3 که روی PHP 8.1 یا بالاتر اجرا می‌شوند، تحت تأثیر قرار دارند.

احتمالاً این نقص‌ها سال گذشته با انتشار وصله سطح 1 برای تمام نسخه‌های شاخه 6 و نسخه 5.7.5 وصله سطح 3 به طور بی‌سروصدا رفع شده‌اند، اما بسیاری از سایت‌ها به دلیل عدم به‌روزرسانی همچنان در معرض خطر هستند.

کشف و سوءاستفاده فعال

این دو مشکل در 23 می 2025 توسط محقق امنیتی اجیدیو رومانو (EgiX) کشف شد که نحوه بهره‌برداری از آن را در یک پست فنی مفصل در وبلاگ خود توضیح داد. این محقق نشان داد که نقص در استفاده نادرست vBulletin از Reflection API در PHP نهفته است که به دلیل تغییرات رفتاری معرفی شده در PHP 8.1، امکان فراخوانی متدهای محافظت شده را بدون تنظیمات دسترسی صریح فراهم می‌کند.

زنجیره آسیب‌پذیری در توانایی فراخوانی متدهای محافظت شده از طریق URLهای دستکاری شده و سوءاستفاده از شرط‌های قالب در موتور قالب vBulletin نهفته است. مهاجمان با تزریق کد قالب دستکاری شده با استفاده از متد آسیب‌پذیر ‘replaceAdTemplate’، فیلترهای “توابع ناامن” را با ترفندهایی مانند فراخوانی توابع متغیر PHP دور می‌زنند. این منجر به اجرای کد کاملاً از راه دور و بدون احراز هویت روی سرور می‌شود که عملاً به مهاجمان دسترسی shell به عنوان کاربر وب سرور (مثلاً www-data در لینوکس) می‌دهد.

در 26 می، محقق امنیتی رایان دیورست گزارش داد که تلاش‌های سوءاستفاده را در لاگ‌های honeypot مشاهده کرده که درخواست‌هایی به نقطه پایانی آسیب‌پذیر ‘ajax/api/ad/replaceAdTemplate’ را نشان می‌دهد.

دیورست یکی از مهاجمان را به لهستان ردیابی کرد و تلاش‌هایی برای استقرار backdoorهای PHP برای اجرای دستورات سیستم را مشاهده کرد. این محقق اشاره کرد که حملات ظاهراً از اکسپلویت منتشر شده قبلی توسط رومانو استفاده می‌کنند، هرچند قالب‌های Nuclei برای این نقص از 24 می 2025 در دسترس بوده‌اند.

مهم است که روشن شود دیورست فقط تلاش‌های سوءاستفاده برای CVE-2025-48827 را مشاهده کرده، اما هنوز شواهدی وجود ندارد که مهاجمان موفق به زنجیره کردن آن به RCE کامل شده باشند، هرچند این بسیار محتمل است.

مشکلات vBulletin

vBulletin یکی از پرکاربردترین پلتفرم‌های انجمن تجاری مبتنی بر PHP/MySQL است که هزاران جامعه آنلاین را در سراسر جهان قدرت می‌بخشد. طراحی ماژولار آن، شامل APIهای موبایل و رابط‌های AJAX، آن را به پلتفرمی پیچیده و انعطاف‌پذیر تبدیل می‌کند. با این حال، سطح حمله گسترده‌ای را نیز در معرض قرار می‌دهد.

در گذشته، هکرها از نقص‌های شدید در این پلتفرم برای نفوذ به انجمن‌های محبوب و سرقت داده‌های حساس تعداد زیادی از کاربران استفاده کرده‌اند.

به مدیران انجمن توصیه می‌شود به‌روزرسانی‌های امنیتی را برای نصب vBulletin خود اعمال کنند یا به آخرین نسخه، یعنی 6.1.1، که تحت تأثیر نقص‌های مذکور نیست، مهاجرت کنند.