У форумному рушії vBulletin виявили одразу дві критичні вразливості, одна з яких уже застосовується в реальних атаках.

Проблеми отримали ідентифікатори CVE-2025-48827 і CVE-2025-48828, і обидві дістали 9 балів із 10 можливих за шкалою оцінки вразливостей CVSS. Вразливості пов’язані з можливістю довільно викликати методи через API і віддалено виконувати довільний код за рахунок експлуатації движка шаблонів.

Баги зачіпають vBulletin версій від 5.0.0 до 5.7.5, а також від 6.0.0 до 6.0.3, якщо платформа працює на PHP 8.1 або пізнішої версії.

Судячи з усього, обидві проблеми були тихо усунуті ще в минулому році, з випуском Patch Level 1 для всіх версій гілки 6.*, а також Patch Level 3 для версії 5.7.5. Однак багато сайтів, як і раніше, залишаються вразливими, так як на них не встановлювали оновлення.

Минулого тижня ІБ-фахівець Раян Дьюхерст (Ryan Dewhurst) повідомив про перші спроби атак на CVE-2025-48827. Логи ханіпота показали запити до вразливого ендпоінту ajax/api/ad/replaceAdTemplate. Дьюхерст пише, що зумів відстежити одного зі зловмисників до Польщі. Цей хакер намагався встановити PHP-бекдори, щоб мати можливість виконувати системні команди.

Дослідник зазначає, що атакуючі використовують експлоїт, опублікований Романо, хоча шаблони Nuclei для цих проблем теж уже доступні. При цьому поки що немає ознак того, що хакерам уже вдалося побудувати на базі CVE-2025-48827 повний RCE-ланцюжок.