Vulnerabilidades críticas em Fóruns Online
2 de Junho de 2025

Duas vulnerabilidades críticas que afetam o software de fórum de código aberto vBulletin foram descobertas, com uma delas confirmada como sendo ativamente explorada na prática.

As falhas, identificadas sob os códigos CVE-2025-48827 e CVE-2025-48828 , receberam uma classificação crítica (pontuação CVSS v3: 10.0 e 9.0, respectivamente).

Elas são falhas de invocação de método da API e de execução remota de código (RCE) por meio de abuso do motor de template.

Elas impactam as versões do vBulletin de 5.0.0 a 5.7.5 e de 6.0.0 a 6.0.3 quando a plataforma está rodando em PHP 8.1 ou superior.

As vulnerabilidades provavelmente foram corrigidas silenciosamente no ano passado com o lançamento do Patch Level 1 para todas as versões do ramo de lançamento 6.*, e a versão 5.7.5 Patch Level 3, mas muitos sites permaneceram expostos devido à falta de atualização.

Os dois problemas foram descobertos em 23 de maio de 2025, pelo pesquisador de segurança Egidio Romano (EgiX), que explicou como explorá-los por meio de uma postagem técnica detalhada em seu blog.

O pesquisador mostrou que a falha reside no uso indevido pela vBulletin da API de Reflection do PHP, que, devido a alterações comportamentais introduzidas no PHP 8.1, permite a invocação de métodos protegidos sem ajustes explícitos de acessibilidade.

A cadeia de vulnerabilidades está na capacidade de invocar métodos protegidos por meio de URLs criadas para esse fim e o uso indevido de condicionais de template no motor de templates do vBulletin.

Ao injetar código de template criado utilizando o método vulnerável 'replaceAdTemplate', os atacantes contornam os filtros de "função insegura" usando truques como chamadas de função de variável do PHP.

Isso resulta em execução de código totalmente remota e não autenticada no servidor subjacente – concedendo efetivamente aos atacantes acesso ao shell como o usuário do servidor web (www-data no Linux, por exemplo).

Em 26 de maio, o pesquisador de segurança Ryan Dewhurst relatou ter visto tentativas de exploração em logs de honeypot mostrando solicitações para o endpoint vulnerável 'ajax/api/ad/replaceAdTemplate'.

Dewhurst identificou um dos atacantes na Polônia, observando tentativas de implantar backdoors PHP para executar comandos do sistema.

O pesquisador observou que os ataques parecem estar aproveitando a exploração publicada anteriormente por Romano, embora já existissem templates do Nuclei disponíveis para a falha desde 24 de maio de 2025.

É importante esclarecer que Dewhurst só observou tentativas de exploração para CVE-2025-48827 , mas ainda não há evidências de que atacantes tenham conseguido encadear isso ao RCE completo, embora isso seja altamente provável.

O vBulletin é uma das plataformas de fórum baseadas em PHP/MySQL comerciais mais usadas, alimentando milhares de comunidades online globalmente.

Seu design modular, incluindo APIs móveis e interfaces AJAX, torna-a uma plataforma complexa e flexível.

No entanto, isso também expõe uma ampla superfície de ataque.

No passado, hackers aproveitaram falhas graves na plataforma para invadir fóruns populares e roubar dados sensíveis de um grande número de usuários.

Recomenda-se que os administradores de fóruns apliquem as atualizações de segurança para a sua instalação do vBulletin ou migrem para a versão mais recente, versão 6.1.1, que não é afetada pelas falhas mencionadas.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...