هکرها در حال سوءاستفاده از آسیبپذیری بحرانی در نرمافزار vBulletin هستند.
سوءاستفاده فعال هکرها از آسیبپذیری بحرانی در نرمافزار انجمنساز vBulletin
دو آسیبپذیری بحرانی در نرمافزار متنباز انجمنساز vBulletin کشف شدهاند که یکی از آنها بهصورت فعال در حملات واقعی مورد سوءاستفاده قرار گرفته است.
این نقصها که با شناسههای CVE-2025-48827 و CVE-2025-48828ردیابی میشوند و به ترتیب امتیازهای بحرانی ۱۰٫۰ و ۹٫۰ در مقیاس CVSS v3 دارند، شامل سوءاستفاده از فراخوانی متدهای API و اجرای کد از راه دور (RCE) از طریق سوءاستفاده از موتور قالب (template engine) هستند.
آسیبپذیریها نسخههای vBulletin از ۵٫۰٫۰ تا ۵٫۷٫۵ و همچنین ۶٫۰٫۰ تا ۶٫۰٫۳ را تحت تأثیر قرار میدهند، مشروط بر اینکه پلتفرم روی PHP نسخه ۸٫۱ یا جدیدتر اجرا شود.
وصلههای امنیتی و وضعیت فعلی
به نظر میرسد این آسیبپذیریها پیشتر و بهطور بیسروصدا با انتشار “Patch Level 1” برای تمامی نسخههای شاخه ۶٫* و “Patch Level 3” برای نسخه ۵٫۷٫۵ وصله شده باشند. با این حال، بسیاری از سایتها به دلیل عدم ارتقا همچنان در معرض خطر قرار دارند.
انتشار عمومی PoC و سوءاستفاده فعال
این دو آسیبپذیری در تاریخ ۲۳ می ۲۰۲۵ توسط پژوهشگر امنیتی Egidio Romano (EgiX) شناسایی شد. وی نحوه بهرهبرداری از این نقصها را در یک پست فنی و دقیق در وبلاگ شخصیاش شرح داده است.
Romano توضیح داده که آسیبپذیری ناشی از استفاده نادرست vBulletin از Reflection API در PHP است؛ تغییری که از PHP 8.1 به بعد باعث میشود متدهای protected بدون تغییر سطح دسترسی، قابل فراخوانی شوند.
زنجیره حمله شامل امکان فراخوانی متدهای محافظتشده از طریق URLهای ساختهشده بهصورت خاص و همچنین سوءاستفاده از شرطهای قالب در موتور قالب vBulletin است. مهاجم با تزریق کد قالب مخرب در متد آسیبپذیر replaceAdTemplate میتواند فیلترهای محدودکننده توابع ناامن را دور زده و با استفاده از قابلیتهایی مثل متدهای متغیر در PHP، به اجرای کد دست یابد.
این نقص منجر به اجرای کامل کد از راه دور و بدون نیاز به احراز هویت روی سرور میشود و به مهاجم دسترسی شِل با سطح دسترسی کاربر وبسرور (مانند www-data در لینوکس) میدهد.
نمونه حملات
در تاریخ ۲۶ می، پژوهشگر امنیتی Ryan Dewhurst گزارش داد که تلاشهایی برای بهرهبرداری از این نقص در لاگهای honeypot مشاهده کرده است. این درخواستها به endpoint آسیبپذیر ajax/api/ad/replaceAdTemplate ارسال شده بودند.
Dewhurst منشأ برخی از این حملات را به لهستان نسبت داد و مواردی از تلاش برای بارگذاری backdoorهای PHP با هدف اجرای دستورات سیستم را ثبت کرده است. این حملات بر اساس اکسپلویت منتشرشده توسط Romano انجام شدهاند و از قالبهای Nuclei نیز که از ۲۴ می ۲۰۲۵ در دسترس بودهاند، استفاده کردهاند.
لازم به ذکر است که در حال حاضر تنها شواهدی از بهرهبرداری از آسیبپذیری CVE-2025-48827 دیده شده و هنوز مدرکی از اجرای موفق زنجیره RCE کامل در دست نیست، هرچند وقوع آن بسیار محتمل است.
پیشینه و توصیه امنیتی
vBulletin یکی از پرکاربردترین پلتفرمهای انجمنساز مبتنی بر PHP/MySQL در جهان است که هزاران انجمن آنلاین را پشتیبانی میکند. طراحی ماژولار آن، شامل APIهای موبایلی و رابطهای AJAX، این پلتفرم را به سیستمی منعطف اما دارای سطح حمله گسترده تبدیل کرده است.
در گذشته نیز مهاجمان از آسیبپذیریهای شدید در vBulletin برای نفوذ به انجمنهای پرمخاطب و سرقت اطلاعات کاربران استفاده کردهاند.
به مدیران انجمنها توصیه میشود فوراً به نسخههای وصلهشده یا بهروزرسانیشده، بهویژه نسخه ۶٫۱٫۱ که فاقد آسیبپذیریهای مذکور است، مهاجرت کنند یا وصلههای امنیتی مربوطه را اعمال کنند.