CRITICAL🇬🇧 English

CVE-2025-48828

RCE w vBulletin poprzez Template Conditionals — wykonanie dowolnego kodu PHP

CVSS 9.0v3.1pub. 2025-05-27upd. 2025-06-25

Podatność w silniku szablonów vBulletin umożliwia atakującym zdalne wykonanie dowolnego kodu PHP poprzez nadużycie mechanizmu Template Conditionals. Luka była aktywnie wykorzystywana w środowiskach produkcyjnych w maju 2025 roku.

Pokaż oryginał (EN)

Certain vBulletin versions might allow attackers to execute arbitrary PHP code by abusing Template Conditionals in the template engine. By crafting template code in an alternative PHP function invocation syntax, such as the "var_dump"("test") syntax, attackers can bypass security checks and execute arbitrary PHP code, as exploited in the wild in May 2025.

🤖 Analiza AI
Jak działa

Atakujący sprytnie tworzy złośliwy kod szablonu, korzystając z alternatywnej składni wywołań funkcji PHP — na przykład notacji typu "var_dump"("test") — osadzonej w warunkach szablonu (Template Conditionals). Silnik szablonów vBulletin przetwarza tak spreparowany kod bez skutecznego odfiltrowania niebezpiecznych konstrukcji, co pozwala ominąć mechanizmy kontroli bezpieczeństwa. W efekcie atakujący uzyskuje możliwość wykonania dowolnych instrukcji PHP w kontekście serwera aplikacji.

Skutki

Atakujący może przejąć pełną kontrolę nad serwerem hostującym vBulletin, co obejmuje wyciek danych (C:H), modyfikację lub usunięcie treści (I:H) oraz zakłócenie dostępności usługi (A:H). Podatność ma charakter bezagentowy i nie wymaga uwierzytelnienia ani interakcji użytkownika.

Mitygacja

Należy niezwłocznie zastosować patche dostępne u producenta zgodnie z referencjami. Dodatkowo zaleca się ograniczenie możliwości edycji szablonów wyłącznie do zaufanych administratorów oraz monitorowanie logów serwera pod kątem nieoczekiwanych wywołań funkcji PHP w kontekście silnika szablonów.

Kogo dotyczy

Określone wersje vBulletin (versje wskazane w referencjach producenta i powiązanych analizach badaczy bezpieczeństwa)

Uwagi

Zgodnie z opisem EN podatność była aktywnie eksploitowana w środowiskach produkcyjnych w maju 2025 roku. Pomimo tego faktu, status CISA KEV w metadanych wskazuje wartość NIE, co może oznaczać, że wpis jeszcze nie został formalnie dodany do katalogu CISA KEV w momencie publikacji. Zaleca się traktowanie tej podatności jak aktywnie eksploitowanej i pilne wdrożenie dostępnych poprawek.

CVSS Vector
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H
  • Vbulletin

    APP
    Vbulletin
    6.0.3
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2020-17496CRITICAL9.8⚠ KEVten sam produkt

vBulletin 5.5.4 through 5.6.2 allows remote command execution via crafted subWidgets data in an ajax/render/wi...

CVE-2019-16759CRITICAL9.8⚠ KEVten sam produkt

vBulletin 5.x through 5.5.4 allows remote command execution via the widgetConfig[code] parameter in an ajax/re...

CVE-2025-48827CRITICAL10.0PL ✓ten sam produkt

vBulletin — nieautoryzowany dostęp do chronionych metod API (RCE)

CVE-2023-25135CRITICAL9.8ten sam produkt

vBulletin before 5.6.9 PL1 allows an unauthenticated remote attacker to execute arbitrary code via a crafted H...

CVE-2020-7373CRITICAL9.8ten sam produkt

vBulletin 5.5.4 through 5.6.2 allows remote command execution via crafted subWidgets data in an ajax/render/wi...