Podatność w vBulletin umożliwia nieuwierzytelnionemu zdalnemu atakującemu wywołanie chronionych metod API, co prowadzi do pełnego przejęcia systemu. Błąd był aktywnie wykorzystywany w środowiskach produkcyjnych w maju 2025 roku.
▸ Pokaż oryginał (EN)
vBulletin 5.0.0 through 5.7.5 and 6.0.0 through 6.0.3 allows unauthenticated users to invoke protected API controllers' methods when running on PHP 8.1 or later, as demonstrated by the /api.php?method=protectedMethod pattern, as exploited in the wild in May 2025.
Problem pojawia się wyłącznie w środowiskach działających na PHP 8.1 lub nowszym, gdzie mechanizm ochrony chronionych metod API przestaje działać poprawnie. Atakujący może wysłać żądanie do endpointu /api.php z parametrem wywołującym chronioną metodę kontrolera (np. /api.php?method=protectedMethod) bez żadnego uwierzytelnienia. vBulletin nie weryfikuje prawidłowo uprawnień dostępu do tych metod w wymienionych wersjach na PHP 8.1+, co skutkuje nieautoryzowanym wykonaniem kodu po stronie serwera. Luka jest klasyfikowana jako CWE-424, czyli nieprawidłowa ochrona alternatywnej ścieżki.
Nieuwierzytelniony atakujący może uzyskać pełną kontrolę nad serwerem, w tym odczytać i zmodyfikować dane (C:H/I:H), a także doprowadzić do niedostępności usługi (A:H) z efektem wychodzącym poza zakres aplikacji (S:C). W praktyce oznacza to możliwość zdalnego wykonania kodu (RCE) na serwerze hostującym forum.
Należy niezwłocznie zastosować patche dostępne u producenta zgodnie z referencjami. Ze względu na aktywną eksploatację w środowiskach produkcyjnych zaleca się natychmiastowe działanie — do czasu aktualizacji rozważyć tymczasowe ograniczenie dostępu do endpointu /api.php na poziomie firewall lub serwera WWW.
vBulletin w wersjach 5.0.0 do 5.7.5 oraz 6.0.0 do 6.0.3 działający na PHP 8.1 lub nowszym
Zgodnie z opisem podatność była aktywnie eksploitowana w środowiskach produkcyjnych w maju 2025 roku. Referencje wskazują na publiczne opracowania techniczne (karmainsecurity.com, kevintel.com) dokumentujące mechanizm ataku.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:HVbulletin
APPVbulletin5.0.0 – 5.7.56.0.0 – 6.0.3
Powiązane podatności
vBulletin 5.5.4 through 5.6.2 allows remote command execution via crafted subWidgets data in an ajax/render/wi...
vBulletin 5.x through 5.5.4 allows remote command execution via the widgetConfig[code] parameter in an ajax/re...
RCE w vBulletin poprzez Template Conditionals — wykonanie dowolnego kodu PHP
vBulletin before 5.6.9 PL1 allows an unauthenticated remote attacker to execute arbitrary code via a crafted H...
vBulletin 5.5.4 through 5.6.2 allows remote command execution via crafted subWidgets data in an ajax/render/wi...