駭客利用vBulletin滿分漏洞來植入後門

資安業者Karma(In)Security於5月23日揭露兩個位於vBulletin的資安漏洞，同時釋出概念性驗證攻擊程式，另一資安研究人員Ryan Dewhurst在5月26日便發現駭客已開始嘗試攻擊他的誘捕系統（Honeypot），企圖植入後門。

在2000年由Jelsoft以PHP程式語言所開發的vBulletin，是個商業化的網路論壇軟體套件，它在2007年出售給Internet Brands，一直是市場上最知名的論壇解決方案之一，透過Fofa搜尋可以找到網路上有超過2.6萬個公開的vBulletin論壇。

資安業者所發現的兩個資安漏洞分別是CVE-2025-48827與CVE-2025-48828，其中，CVE-2025-48827是在系統運行於PHP 8.1或更新的環境時，允許未經授權的使用者可呼叫受保護的API控制器，換句話說，它讓駭客得以繞過身分驗證，直接存取各種API端點。該漏洞的CVSS風險評分為滿分（10）。

至於CVE-2025-48828則允許駭客濫用模板條件（Template Conditionals），繞過系統安全檢查並執行任意PHP程式碼，其CVSS風險評分為9。這兩個漏洞波及vBulletin 5.0.0至5.7.5，以及vBulletin 6.0.0至 6.0.3。

除了概念性驗證程式在23日就出爐之外，用來掃描相關漏洞的Nuclei模板亦於24日發布，因此，Dewhurst的誘捕系統在26日就發現攻擊行動也就不那麼令人意外了。

不過，其實Internet Brands早在去年4月就修補了這兩個漏洞，只是它們一直到今年才被揭露與分配CVE漏洞編號，有按時修補的用戶應該不必擔心。