O popular software de fóruns vBulletin encontra-se novamente no centro das atenções da cibersegurança, e não pelos melhores motivos. Foram descobertas duas vulnerabilidades críticas que afetam múltiplas versões da plataforma, sendo que uma delas já está a ser ativamente explorada por atacantes.
As vulnerabilidades que ameaçam os fóruns vBulletin
As falhas, identificadas como CVE-2025-48827 e CVE-2025-48828, receberam classificações de criticidade de 10.0 e 9.0 (CVSS v3), respetivamente, o que evidencia o seu elevado risco. A primeira está relacionada com uma invocação de método da API, enquanto a segunda permite a execução remota de código (RCE) através de um abuso do motor de templates do software.
As versões do vBulletin afetadas são da 5.0.0 até à 5.7.5, e da 6.0.0 até à 6.0.3, especificamente quando a plataforma corre sobre PHP 8.1 ou versões posteriores. Embora se acredite que estas falhas tenham sido discretamente corrigidas no ano passado com o lançamento do Patch Level 1 para todas as versões do ramo 6.* e com a versão 5.7.5 Patch Level 3, muitos sites permaneceram vulneráveis por não terem aplicado as respetivas atualizações.
Como os atacantes conseguem tomar controlo
A descoberta destas duas brechas de segurança ocorreu a 23 de maio de 2025, pelo investigador de segurança Egidio Romano, conhecido online como EgiX. Romano detalhou tecnicamente o processo de exploração num artigo publicado no seu blog.
O investigador demonstrou que o problema reside na forma como o vBulletin utiliza a Reflection API do PHP. Devido a alterações comportamentais introduzidas no PHP 8.1, é possível invocar métodos protegidos sem necessidade de ajustes explícitos de acessibilidade. A cadeia de exploração combina a capacidade de invocar estes métodos protegidos através de URLs criados para o efeito com o uso indevido de condicionais de template dentro do motor de templates do vBulletin.
Ao injetar código de template malicioso através do método vulnerável 'replaceAdTemplate', os atacantes conseguem contornar os filtros de "funções não seguras", utilizando truques como chamadas a funções variáveis do PHP. O resultado é a execução remota de código não autenticada no servidor, concedendo aos atacantes acesso ao nível do utilizador do servidor web (como 'www-data' em sistemas Linux, por exemplo).
Ataques em curso: Investigador deteta tentativas de exploração
A gravidade da situação foi exponenciada a 26 de maio, quando o investigador de segurança Ryan Dewhurst reportou ter observado tentativas de exploração da vulnerabilidade nos registos dos seus honeypots. Estas tentativas visavam o endpoint vulnerável 'ajax/api/ad/replaceAdTemplate'.
Dewhurst conseguiu rastrear um dos atacantes até à Polónia, observando manobras para instalar backdoors PHP com o objetivo de executar comandos no sistema comprometido. O investigador notou que os ataques parecem estar a utilizar o exploit publicado anteriormente por Romano, embora templates para a ferramenta de scanning Nuclei já estivessem disponíveis para esta falha desde 24 de maio de 2025.
É importante salientar que Dewhurst apenas observou tentativas de exploração para a falha CVE-2025-48827. No entanto, não existem ainda provas de que os atacantes tenham conseguido encadear esta exploração com a segunda vulnerabilidade para obter execução remota de código completa, embora tal cenário seja considerado altamente provável.
vBulletin: Uma plataforma popular, mas com um histórico de segurança atribulado
O vBulletin é uma das plataformas comerciais baseadas em PHP/MySQL mais utilizadas para a criação de comunidades online, servindo de base a milhares de fóruns em todo o mundo. A sua arquitetura modular, que inclui APIs para dispositivos móveis e interfaces AJAX, torna-a uma plataforma complexa e flexível. Contudo, esta complexidade também expõe uma superfície de ataque considerável.
No passado, hackers exploraram diversas falhas graves na plataforma para comprometer fóruns populares e roubar dados sensíveis de um grande número de utilizadores.
Proteja o seu fórum: Atualização é crucial
Face a estas descobertas e à exploração ativa, é fortemente recomendado que os administradores de fóruns vBulletin apliquem com a máxima urgência as atualizações de segurança disponibilizadas para a sua instalação. Alternativamente, podem optar por migrar para a versão mais recente, a 6.1.1, que, segundo a informação disponível, não é afetada por estas vulnerabilidades específicas.
Nenhum comentário
Seja o primeiro!