CRITICAL🇬🇧 English

CVE-2025-48827

vBulletin — nieautoryzowany dostęp do chronionych metod API (RCE)

CVSS 10.0v3.1pub. 2025-05-27upd. 2025-06-25

Podatność w vBulletin umożliwia nieuwierzytelnionemu zdalnemu atakującemu wywołanie chronionych metod API, co prowadzi do pełnego przejęcia systemu. Błąd był aktywnie wykorzystywany w środowiskach produkcyjnych w maju 2025 roku.

Pokaż oryginał (EN)

vBulletin 5.0.0 through 5.7.5 and 6.0.0 through 6.0.3 allows unauthenticated users to invoke protected API controllers' methods when running on PHP 8.1 or later, as demonstrated by the /api.php?method=protectedMethod pattern, as exploited in the wild in May 2025.

🤖 Analiza AI
Jak działa

Problem pojawia się wyłącznie w środowiskach działających na PHP 8.1 lub nowszym, gdzie mechanizm ochrony chronionych metod API przestaje działać poprawnie. Atakujący może wysłać żądanie do endpointu /api.php z parametrem wywołującym chronioną metodę kontrolera (np. /api.php?method=protectedMethod) bez żadnego uwierzytelnienia. vBulletin nie weryfikuje prawidłowo uprawnień dostępu do tych metod w wymienionych wersjach na PHP 8.1+, co skutkuje nieautoryzowanym wykonaniem kodu po stronie serwera. Luka jest klasyfikowana jako CWE-424, czyli nieprawidłowa ochrona alternatywnej ścieżki.

Skutki

Nieuwierzytelniony atakujący może uzyskać pełną kontrolę nad serwerem, w tym odczytać i zmodyfikować dane (C:H/I:H), a także doprowadzić do niedostępności usługi (A:H) z efektem wychodzącym poza zakres aplikacji (S:C). W praktyce oznacza to możliwość zdalnego wykonania kodu (RCE) na serwerze hostującym forum.

Mitygacja

Należy niezwłocznie zastosować patche dostępne u producenta zgodnie z referencjami. Ze względu na aktywną eksploatację w środowiskach produkcyjnych zaleca się natychmiastowe działanie — do czasu aktualizacji rozważyć tymczasowe ograniczenie dostępu do endpointu /api.php na poziomie firewall lub serwera WWW.

Kogo dotyczy

vBulletin w wersjach 5.0.0 do 5.7.5 oraz 6.0.0 do 6.0.3 działający na PHP 8.1 lub nowszym

Uwagi

Zgodnie z opisem podatność była aktywnie eksploitowana w środowiskach produkcyjnych w maju 2025 roku. Referencje wskazują na publiczne opracowania techniczne (karmainsecurity.com, kevintel.com) dokumentujące mechanizm ataku.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
  • Vbulletin

    APP
    Vbulletin
    5.0.0 – 5.7.56.0.0 – 6.0.3
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2020-17496CRITICAL9.8⚠ KEVten sam produkt

vBulletin 5.5.4 through 5.6.2 allows remote command execution via crafted subWidgets data in an ajax/render/wi...

CVE-2019-16759CRITICAL9.8⚠ KEVten sam produkt

vBulletin 5.x through 5.5.4 allows remote command execution via the widgetConfig[code] parameter in an ajax/re...

CVE-2025-48828CRITICAL9.0PL ✓ten sam produkt

RCE w vBulletin poprzez Template Conditionals — wykonanie dowolnego kodu PHP

CVE-2023-25135CRITICAL9.8ten sam produkt

vBulletin before 5.6.9 PL1 allows an unauthenticated remote attacker to execute arbitrary code via a crafted H...

CVE-2020-7373CRITICAL9.8ten sam produkt

vBulletin 5.5.4 through 5.6.2 allows remote command execution via crafted subWidgets data in an ajax/render/wi...