Duas vulnerabilidades críticas que afetam o software de fórum de código aberto vBulletin foram descobertas, com uma delas confirmada como sendo ativamente explorada na prática.
As falhas, identificadas sob os códigos
CVE-2025-48827
e
CVE-2025-48828
, receberam uma classificação crítica (pontuação CVSS v3: 10.0 e 9.0, respectivamente).
Elas são falhas de invocação de método da API e de execução remota de código (RCE) por meio de abuso do motor de template.
Elas impactam as versões do vBulletin de 5.0.0 a 5.7.5 e de 6.0.0 a 6.0.3 quando a plataforma está rodando em PHP 8.1 ou superior.
As vulnerabilidades provavelmente foram corrigidas silenciosamente no ano passado com o lançamento do Patch Level 1 para todas as versões do ramo de lançamento 6.*, e a versão 5.7.5 Patch Level 3, mas muitos sites permaneceram expostos devido à falta de atualização.
Os dois problemas foram descobertos em 23 de maio de 2025, pelo pesquisador de segurança Egidio Romano (EgiX), que explicou como explorá-los por meio de uma postagem técnica detalhada em seu blog.
O pesquisador mostrou que a falha reside no uso indevido pela vBulletin da API de Reflection do PHP, que, devido a alterações comportamentais introduzidas no PHP 8.1, permite a invocação de métodos protegidos sem ajustes explícitos de acessibilidade.
A cadeia de vulnerabilidades está na capacidade de invocar métodos protegidos por meio de URLs criadas para esse fim e o uso indevido de condicionais de template no motor de templates do vBulletin.
Ao injetar código de template criado utilizando o método vulnerável 'replaceAdTemplate', os atacantes contornam os filtros de "função insegura" usando truques como chamadas de função de variável do PHP.
Isso resulta em execução de código totalmente remota e não autenticada no servidor subjacente – concedendo efetivamente aos atacantes acesso ao shell como o usuário do servidor web (www-data no Linux, por exemplo).
Em 26 de maio, o pesquisador de segurança Ryan Dewhurst relatou ter visto tentativas de exploração em logs de honeypot mostrando solicitações para o endpoint vulnerável 'ajax/api/ad/replaceAdTemplate'.
Dewhurst identificou um dos atacantes na Polônia, observando tentativas de implantar backdoors PHP para executar comandos do sistema.
O pesquisador observou que os ataques parecem estar aproveitando a exploração publicada anteriormente por Romano, embora já existissem templates do Nuclei disponíveis para a falha desde 24 de maio de 2025.
É importante esclarecer que Dewhurst só observou tentativas de exploração para
CVE-2025-48827
, mas ainda não há evidências de que atacantes tenham conseguido encadear isso ao RCE completo, embora isso seja altamente provável.
O vBulletin é uma das plataformas de fórum baseadas em PHP/MySQL comerciais mais usadas, alimentando milhares de comunidades online globalmente.
Seu design modular, incluindo APIs móveis e interfaces AJAX, torna-a uma plataforma complexa e flexível.
No entanto, isso também expõe uma ampla superfície de ataque.
No passado, hackers aproveitaram falhas graves na plataforma para invadir fóruns populares e roubar dados sensíveis de um grande número de usuários.
Recomenda-se que os administradores de fóruns apliquem as atualizações de segurança para a sua instalação do vBulletin ou migrem para a versão mais recente, versão 6.1.1, que não é afetada pelas falhas mencionadas.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...