
資安業者Karma(In)Security於5月23日揭露兩個位於vBulletin的資安漏洞,同時釋出概念性驗證攻擊程式,另一資安研究人員Ryan Dewhurst在5月26日便發現駭客已開始嘗試攻擊他的誘捕系統(Honeypot),企圖植入後門。
在2000年由Jelsoft以PHP程式語言所開發的vBulletin,是個商業化的網路論壇軟體套件,它在2007年出售給Internet Brands,一直是市場上最知名的論壇解決方案之一,透過Fofa搜尋可以找到網路上有超過2.6萬個公開的vBulletin論壇。
資安業者所發現的兩個資安漏洞分別是CVE-2025-48827與CVE-2025-48828,其中,CVE-2025-48827是在系統運行於PHP 8.1或更新的環境時,允許未經授權的使用者可呼叫受保護的API控制器,換句話說,它讓駭客得以繞過身分驗證,直接存取各種API端點。該漏洞的CVSS風險評分為滿分(10)。
至於CVE-2025-48828則允許駭客濫用模板條件(Template Conditionals),繞過系統安全檢查並執行任意PHP程式碼,其CVSS風險評分為9。這兩個漏洞波及vBulletin 5.0.0至5.7.5,以及vBulletin 6.0.0至 6.0.3。
除了概念性驗證程式在23日就出爐之外,用來掃描相關漏洞的Nuclei模板亦於24日發布,因此,Dewhurst的誘捕系統在26日就發現攻擊行動也就不那麼令人意外了。
不過,其實Internet Brands早在去年4月就修補了這兩個漏洞,只是它們一直到今年才被揭露與分配CVE漏洞編號,有按時修補的用戶應該不必擔心。
熱門新聞
2025-07-16
2024-08-05
2025-07-16
2025-07-16
2025-07-14
2025-07-14
2025-07-14