- 19,454
- 40
- 8 Ноя 2022
Один шаблон и всё летит в тартарары. Спасибо, PHP 8.1.
В популярных форумах на vBulletin вновь обнаружены дыры, через которые можно выполнить произвольный код прямо на сервере — без логина и пароля. Речь идёт сразу о двух критических уязвимостях, получивших идентификаторы CVE-2025-48827 и CVE-2025-48828. Для просмотра ссылки Войдиили Зарегистрируйся в реальных атаках, а вторая позволяет довести цепочку до полноценного захвата контроля над системой.
Уязвимости были выявлены 23 мая 2025 года независимым исследователем Эджидио Романо (EgiX), который опубликовал подробный технический разбор с описанием механизмов эксплуатации. В центре всей конструкции — изменения в поведении PHP начиная с версии 8.1 и ошибки в логике работы шаблонизатора vBulletin. Вместе они дают неожиданный и опасный результат: удалённый, неаутентифицированный запуск произвольных команд на сервере.
Первая проблема связана с неправильным использованием Reflection API. Этот механизм позволяет вызывать защищённые методы объектов, и раньше требовал явного обхода ограничений доступа. Однако в PHP 8.1 поведение изменилось: определённые вызовы с помощью отражения больше не требуют принудительного открытия доступа. И если в коде это не было учтено — метод можно вызвать напрямую, без каких-либо обходных манипуляций.
В vBulletin таких вызовов достаточно. Например, через уязвимый метод replaceAdTemplate можно внедрить специально подготовленный шаблон прямо из URL-запроса. Второй баг в шаблонизаторе — CVE-2025-48828 — позволяет Для просмотра ссылки Войдиили Зарегистрируйся за счёт использования PHP-хаков, вроде вызовов переменных как функций (${'assert'} и аналогичные конструкции). Таким образом, система принимает вредоносный код как допустимый.
Комбинация этих двух ошибок превращается в мощный инструмент: достаточно одного запроса, чтобы внедрить произвольную команду и запустить её на сервере от имени веб-пользователя. В большинстве случаев это www-data на Linux, что открывает путь к скачиванию бэкдоров, запуску скриптов и углублению в систему.
Через три дня после публикации Романо, 26 мая, другой исследователь — Райан Дьюхерст — зафиксировал реальные попытки эксплуатации. Он проанализировал логи своих honeypot-серверов и обнаружил подозрительные запросы к уязвимому endpoint'у /ajax/api/ad/replaceAdTemplate. Все признаки указывали на сканирование и попытки внедрения зловредного PHP-кода.
Одного из злоумышленников удалось отследить — атаки исходили с IP-адресов, зарегистрированных в Польше. В запросах явно прослеживалась попытка загрузить удалённую web-оболочку, которая бы обеспечила постоянный доступ к системе и возможность выполнять произвольные команды через интерфейс браузера.
Хотя пока зафиксированы только атаки, использующие первую Для просмотра ссылки Войдиили Зарегистрируйся (CVE-2025-48827), логика опубликованной цепочки явно предполагает дальнейшую эксплуатацию второй. Все необходимые компоненты уже есть, включая публичный PoC и даже готовые шаблоны для системы автоматического сканирования уязвимостей Nuclei, которые появились уже 24 мая. По сути, сценарий атаки уже упакован и доступен.
Особую тревогу вызывает то, что эти баги затрагивают не только последние релизы, но и весь диапазон от vBulletin 5.0.0 до 5.7.5 и от 6.0.0 до 6.0.3, при условии работы на PHP 8.1 и выше. При этом сами обновления, закрывающие уязвимости, были выпущены ещё в прошлом году — в виде Patch Level 3 для 5.7.5 и Patch Level 1 для всех версий 6.*. Однако разработчики сделали это без громких анонсов, поэтому многие администраторы попросту не знали о критической важности патча.
Как следствие, значительное количество форумов по-прежнему остаётся уязвимыми. Даже те, кто установил последние мажорные версии, но не применил минорные обновления, находятся в зоне риска. Особенно это касается проектов с высокой посещаемостью, где атака может привести к краже данных пользователей, модификации контента и полной компрометации ресурса.
vBulletin остаётся одним из самых распространённых движков для форумов на PHP/MySQL, его используют тысячи сайтов по всему миру. За счёт модульной архитектуры и поддержки мобильных API он подходит как для небольших сообществ, так и для крупных коммерческих площадок. Но именно гибкость и расширяемость платформы обеспечивают широкую поверхность атаки — и в очередной раз доказывают, насколько важно регулярно обновлять даже казалось бы "неопасные" компоненты.
Ранее vBulletin уже становился объектом громких взломов. В прошлом Для просмотра ссылки Войдиили Зарегистрируйся позволяли атакующим получить доступ к базе данных пользователей, выкладывать вредоносные объявления и использовать платформу как точку входа в более крупные системы. Текущие баги — из той же категории: простые в применении, но чрезвычайно разрушительные при массовом применении.
Разработчики рекомендуют администраторам форумов срочно установить обновления безопасности и, если возможно, перейти на версию vBulletin 6.1.1, в которой описанные проблемы устранены. В противном случае сайты остаются открытыми для атак через шаблоны, API и уязвимости уровня ядра.
В популярных форумах на vBulletin вновь обнаружены дыры, через которые можно выполнить произвольный код прямо на сервере — без логина и пароля. Речь идёт сразу о двух критических уязвимостях, получивших идентификаторы CVE-2025-48827 и CVE-2025-48828. Для просмотра ссылки Войди
Уязвимости были выявлены 23 мая 2025 года независимым исследователем Эджидио Романо (EgiX), который опубликовал подробный технический разбор с описанием механизмов эксплуатации. В центре всей конструкции — изменения в поведении PHP начиная с версии 8.1 и ошибки в логике работы шаблонизатора vBulletin. Вместе они дают неожиданный и опасный результат: удалённый, неаутентифицированный запуск произвольных команд на сервере.
Первая проблема связана с неправильным использованием Reflection API. Этот механизм позволяет вызывать защищённые методы объектов, и раньше требовал явного обхода ограничений доступа. Однако в PHP 8.1 поведение изменилось: определённые вызовы с помощью отражения больше не требуют принудительного открытия доступа. И если в коде это не было учтено — метод можно вызвать напрямую, без каких-либо обходных манипуляций.
В vBulletin таких вызовов достаточно. Например, через уязвимый метод replaceAdTemplate можно внедрить специально подготовленный шаблон прямо из URL-запроса. Второй баг в шаблонизаторе — CVE-2025-48828 — позволяет Для просмотра ссылки Войди
Комбинация этих двух ошибок превращается в мощный инструмент: достаточно одного запроса, чтобы внедрить произвольную команду и запустить её на сервере от имени веб-пользователя. В большинстве случаев это www-data на Linux, что открывает путь к скачиванию бэкдоров, запуску скриптов и углублению в систему.
Через три дня после публикации Романо, 26 мая, другой исследователь — Райан Дьюхерст — зафиксировал реальные попытки эксплуатации. Он проанализировал логи своих honeypot-серверов и обнаружил подозрительные запросы к уязвимому endpoint'у /ajax/api/ad/replaceAdTemplate. Все признаки указывали на сканирование и попытки внедрения зловредного PHP-кода.
Одного из злоумышленников удалось отследить — атаки исходили с IP-адресов, зарегистрированных в Польше. В запросах явно прослеживалась попытка загрузить удалённую web-оболочку, которая бы обеспечила постоянный доступ к системе и возможность выполнять произвольные команды через интерфейс браузера.
Хотя пока зафиксированы только атаки, использующие первую Для просмотра ссылки Войди
Особую тревогу вызывает то, что эти баги затрагивают не только последние релизы, но и весь диапазон от vBulletin 5.0.0 до 5.7.5 и от 6.0.0 до 6.0.3, при условии работы на PHP 8.1 и выше. При этом сами обновления, закрывающие уязвимости, были выпущены ещё в прошлом году — в виде Patch Level 3 для 5.7.5 и Patch Level 1 для всех версий 6.*. Однако разработчики сделали это без громких анонсов, поэтому многие администраторы попросту не знали о критической важности патча.
Как следствие, значительное количество форумов по-прежнему остаётся уязвимыми. Даже те, кто установил последние мажорные версии, но не применил минорные обновления, находятся в зоне риска. Особенно это касается проектов с высокой посещаемостью, где атака может привести к краже данных пользователей, модификации контента и полной компрометации ресурса.
vBulletin остаётся одним из самых распространённых движков для форумов на PHP/MySQL, его используют тысячи сайтов по всему миру. За счёт модульной архитектуры и поддержки мобильных API он подходит как для небольших сообществ, так и для крупных коммерческих площадок. Но именно гибкость и расширяемость платформы обеспечивают широкую поверхность атаки — и в очередной раз доказывают, насколько важно регулярно обновлять даже казалось бы "неопасные" компоненты.
Ранее vBulletin уже становился объектом громких взломов. В прошлом Для просмотра ссылки Войди
Разработчики рекомендуют администраторам форумов срочно установить обновления безопасности и, если возможно, перейти на версию vBulletin 6.1.1, в которой описанные проблемы устранены. В противном случае сайты остаются открытыми для атак через шаблоны, API и уязвимости уровня ядра.
- Источник новости
- www.securitylab.ru
