هکرها در حال سوءاستفاده از آسیب‌پذیری بحرانی در نرم‌افزار vBulletin هستند.

سوءاستفاده فعال هکرها از آسیب‌پذیری بحرانی در نرم‌افزار انجمن‌ساز vBulletin

دو آسیب‌پذیری بحرانی در نرم‌افزار متن‌باز انجمن‌ساز vBulletin کشف شده‌اند که یکی از آن‌ها به‌صورت فعال در حملات واقعی مورد سوءاستفاده قرار گرفته است.

این نقص‌ها که با شناسه‌های CVE-2025-48827 و CVE-2025-48828ردیابی می‌شوند و به ترتیب امتیازهای بحرانی ۱۰٫۰ و ۹٫۰ در مقیاس CVSS v3 دارند، شامل سوءاستفاده از فراخوانی متدهای API و اجرای کد از راه دور (RCE) از طریق سوءاستفاده از موتور قالب (template engine) هستند.

آسیب‌پذیری‌ها نسخه‌های vBulletin از ۵٫۰٫۰ تا ۵٫۷٫۵ و همچنین ۶٫۰٫۰ تا ۶٫۰٫۳ را تحت تأثیر قرار می‌دهند، مشروط بر اینکه پلتفرم روی PHP نسخه ۸٫۱ یا جدیدتر اجرا شود.

وصله‌های امنیتی و وضعیت فعلی

به نظر می‌رسد این آسیب‌پذیری‌ها پیش‌تر و به‌طور بی‌سروصدا با انتشار “Patch Level 1” برای تمامی نسخه‌های شاخه ۶٫* و “Patch Level 3” برای نسخه ۵٫۷٫۵ وصله شده باشند. با این حال، بسیاری از سایت‌ها به دلیل عدم ارتقا همچنان در معرض خطر قرار دارند.

انتشار عمومی PoC و سوءاستفاده فعال

این دو آسیب‌پذیری در تاریخ ۲۳ می ۲۰۲۵ توسط پژوهشگر امنیتی Egidio Romano (EgiX) شناسایی شد. وی نحوه بهره‌برداری از این نقص‌ها را در یک پست فنی و دقیق در وبلاگ شخصی‌اش شرح داده است.

Romano توضیح داده که آسیب‌پذیری ناشی از استفاده نادرست vBulletin از Reflection API در PHP است؛ تغییری که از PHP 8.1 به بعد باعث می‌شود متدهای protected بدون تغییر سطح دسترسی، قابل فراخوانی شوند.

زنجیره حمله شامل امکان فراخوانی متدهای محافظت‌شده از طریق URLهای ساخته‌شده به‌صورت خاص و همچنین سوءاستفاده از شرط‌های قالب در موتور قالب vBulletin است. مهاجم با تزریق کد قالب مخرب در متد آسیب‌پذیر replaceAdTemplate می‌تواند فیلترهای محدودکننده توابع ناامن را دور زده و با استفاده از قابلیت‌هایی مثل متدهای متغیر در PHP، به اجرای کد دست یابد.

این نقص منجر به اجرای کامل کد از راه دور و بدون نیاز به احراز هویت روی سرور می‌شود و به مهاجم دسترسی شِل با سطح دسترسی کاربر وب‌سرور (مانند www-data در لینوکس) می‌دهد.

نمونه حملات

در تاریخ ۲۶ می، پژوهشگر امنیتی Ryan Dewhurst گزارش داد که تلاش‌هایی برای بهره‌برداری از این نقص در لاگ‌های honeypot مشاهده کرده است. این درخواست‌ها به endpoint آسیب‌پذیر ajax/api/ad/replaceAdTemplate ارسال شده بودند.

Dewhurst منشأ برخی از این حملات را به لهستان نسبت داد و مواردی از تلاش برای بارگذاری backdoorهای PHP با هدف اجرای دستورات سیستم را ثبت کرده است. این حملات بر اساس اکسپلویت منتشرشده توسط Romano انجام شده‌اند و از قالب‌های Nuclei نیز که از ۲۴ می ۲۰۲۵ در دسترس بوده‌اند، استفاده کرده‌اند.

لازم به ذکر است که در حال حاضر تنها شواهدی از بهره‌برداری از آسیب‌پذیری CVE-2025-48827 دیده شده و هنوز مدرکی از اجرای موفق زنجیره RCE کامل در دست نیست، هرچند وقوع آن بسیار محتمل است.

پیشینه و توصیه امنیتی

vBulletin یکی از پرکاربردترین پلتفرم‌های انجمن‌ساز مبتنی بر PHP/MySQL در جهان است که هزاران انجمن آنلاین را پشتیبانی می‌کند. طراحی ماژولار آن، شامل APIهای موبایلی و رابط‌های AJAX، این پلتفرم را به سیستمی منعطف اما دارای سطح حمله گسترده تبدیل کرده است.

در گذشته نیز مهاجمان از آسیب‌پذیری‌های شدید در vBulletin برای نفوذ به انجمن‌های پرمخاطب و سرقت اطلاعات کاربران استفاده کرده‌اند.

به مدیران انجمن‌ها توصیه می‌شود فوراً به نسخه‌های وصله‌شده یا به‌روزرسانی‌شده، به‌ویژه نسخه ۶٫۱٫۱ که فاقد آسیب‌پذیری‌های مذکور است، مهاجرت کنند یا وصله‌های امنیتی مربوطه را اعمال کنند.