Se han descubierto dos vulnerabilidades críticas que afectan a vBulletin y
una de ellas se encuentra bajo explotación activa.
Las fallas, rastreadas bajo
CVE-2025-48827
y
CVE-2025-48828, y clasificadas con score de CVSS de 10.0 y 9.0 respectivos, son una
invocación de método API y una ejecución de código remoto (RCE) a través de
errores en el motor de plantillas de la aplicación.
Impactan las versiones de vBulletin 5.0.0 a 5.7.5 y 6.0.0 a 6.0.3 cuando la
plataforma se ejecuta en PHP 8.1 o posterior.
Las vulnerabilidades probablemente fueron parcheadas en silencio el año pasado
con el lanzamiento de Patch Nivel 1 para todas las versiones de la rama de
lanzamiento 6.*, y la versión 5.7.5 Patch Nivel 3, pero muchos sitios
permanecen vulnerables por no haber sido actualizados.
PoC público y explotación activa
Las dos vulnerabilidades fueron halladas el 23 de mayo de 2025 por el
investigador de seguridad
Egidio Romano
(EgiX), quien explicó cómo explotarlo a través de una publicación técnica
detallada en su blog.
El investigador mostró que la falla radica en el uso indebido de la API de
reflexión de PHP, que, debido a los cambios de comportamiento introducidos en
PHP 8.1, permite invocar métodos protegidos sin ajustes de accesibilidad
explícitos. La cadena de vulnerabilidad se encuentra en la capacidad de
invocar métodos protegidos a través de URL elaboradas y el mal uso de los
condicionales dentro del motor de plantillas de vBulletin.
Al inyectar código de plantillas especialmente elaboradas, al método
vulnerable «ReplaceAdTemplate», los atacantes evitan los filtros de
«función insegura». Esto da como resultado una ejecución de código remota y no
autenticada en el servidor subyacente, que otorga a los atacantes el acceso de
shell.
El 26 de mayo, la investigación de seguridad
Ryan Dewhurst informó
haber visto intentos de explotación en registros de honeypot que muestran
solicitudes al punto final vulnerable ‘Ajax/API/AD/ReplaceTemplate’.
Dewhurst rastreó a uno de los atacantes a Polonia, viendo intentos de
implementar puertas traseras para ejecutar comandos del sistema. El
investigador señaló que los ataques parecen estar aprovechando la exploit
publicada por Romano, pensó que había plantillas de Nuclei disponibles desde
el 24 de 2025.
Es importante aclarar que Dewhurst solo observó los intentos de explotación
para CVE-2025-48827, pero aún no existe evidencia de que los atacantes lo
hayan encadenado con éxito a una RCE completa, aunque esto es muy probable.
El 23 de mayo de 2025 Karma(In)Security reveló la vulnerabilidad de ejecución de código remoto que afecta la vBulletin 5.0.0 a 6.0.3, incluida una PoC. Según el investigador, esta vulnerabilidad fue como parcheada hace más de un año.
Estas son las versiones actualizadas:
- vBulletin 6.0.3 Patch Level 1
- vBulletin 6.0.2 Patch Level 1
- vBulletin 6.0.1 Patch Level 1
- vBulletin 5.7.5 Patch Level 3
Los administradores de vBulletin recomiendan aplicar las actualizaciones de
seguridad o pasar a la última versión, versión 6.1.1, que no se ve afectada
por dichas fallas.
Fuente:
BC