【 資安警訊 】- 駭客利用 vBulletin 滿分漏洞來植入後門
發布編號:OIS-CTI-2025-06-001
情資來源:iThome
事件類型:漏洞警訊公告
內容說明:
資安業者 Karma(In)Security 揭露影響 vBulletin 的 CVE-2025-48827 與 CVE-2025-48828,這二項資安漏洞 Internet Brands 已於 2024 年 4 月發布修補。
圖片來源:iThome
資安業者 Karma(In)Security 於 5 月 23 日揭露兩個位於 vBulletin 的資安漏洞,同時釋出概念性驗證攻擊程式,另一資安研究人員 Ryan Dewhurst 在 5 月 26 日便發現駭客已開始嘗試攻擊他的誘捕系統(Honeypot),企圖植入後門。
在 2000 年由 Jelsoft 以 PHP 程式語言所開發的 vBulletin,是個商業化的網路論壇軟體套件,它在 2007 年出售給 Internet Brands,一直是市場上最知名的論壇解決方案之一,透過 Fofa搜尋可以找到網路上有超過 2.6 萬個公開的 vBulletin 論壇。
資安業者所發現的兩個資安漏洞分別是 CVE-2025-48827 與 CVE-2025-48828,其中,CVE-2025-48827 是在系統運行於 PHP 8.1 或更新的環境時,允許未經授權的使用者可呼叫受保護的 API 控制器,換句話說,它讓駭客得以繞過身分驗證,直接存取各種 API 端點。該漏洞的CVSS 風險評分為滿分(10)。
至於 CVE-2025-48828 則允許駭客濫用模板條件(Template Conditionals),繞過系統安全檢查並執行任意 PHP 程式碼,其 CVSS 風險評分為 9。這兩個漏洞波及 vBulletin 5.0.0 至5.7.5,以及vBulletin 6.0.0至 6.0.3。
除了概念性驗證程式在 23 日就出爐之外,用來掃描相關漏洞的 Nuclei 模板亦於 24 日發布,因此,Dewhurst 的誘捕系統在 26 日就發現攻擊行動也就不那麼令人意外了。
不過,其實 Internet Brands 早在去年 4 月就修補了這兩個漏洞,只是它們一直到今年才被揭露與分配 CVE 漏洞編號,有按時修補的用戶應該不必擔心。
影響平台:
當平台在 PHP 8.1 或更高版本上運行時,它們會影響 vBulletin 5.0.0 至 5.7.5,以及 vBulletin 6.0.0 至 6.0.3 版本
建議措施:
建議網站管理員為其 vBulletin 安裝應用程式安全性更新,或升級至最新版本 6.1.1,
該版本不受上述缺陷的影響。
參考連結 :