Các lỗ hổng được theo dõi gồm CVE-2025-48827 và CVE-2025-48828, được đánh giá là nghiêm trọng (điểm CVSS v3: lần lượt là 10.0 và 9.0). CVSS (Common Vulnerability Scoring System) là tiêu chuẩn đánh giá mức độ nghiêm trọng kỹ thuật của lỗ hổng. Hai lỗ hổng kể trên thì một lỗi gọi phương thức giao diện lập trình ứng dụng (API) và một lỗi thực thi mã từ xa (RCE) thông qua lỗi lạm dụng công cụ mẫu.

Chúng ảnh hưởng đến vBulletin phiên bản 5.0.0 đến 5.7.5 và 6.0.0 đến 6.0.3 khi nền tảng chạy trên ngôn ngữ lập trình (PHP) 8.1 trở lên.

Các lỗ hổng có khả năng đã được vá một cách lặng lẽ vào năm ngoái với bản phát hành Bản vá cấp độ 1 cho tất cả các phiên bản của nhánh phát hành 6* và Bản vá cấp độ 3 phiên bản 5.7.5, nhưng nhiều trang web vẫn bị lộ do không nâng cấp.

Các lỗ hổng bị tấn công công khai và khai thác tích cực

Hai lỗ hổng kể trên đã được phát hiện vào ngày 23/5/2025 bởi nhà nghiên cứu bảo mật Egidio Romano (EgiX). Chuyên gia này đã giải thích cách khai thác thông qua một bài đăng kỹ thuật chi tiết trên blog của mình. Trong đó, ông đã chỉ ra rằng, lỗ hổng nằm ở việc vBulletin sử dụng sai API Reflection của PHP, do những thay đổi về hành vi được giới thiệu trong PHP 8.1, cho phép gọi các phương thức được bảo vệ mà không cần điều chỉnh khả năng truy cập rõ ràng.

Chuỗi lỗ hổng nằm ở khả năng gọi các phương thức được bảo vệ thông qua các vị trí của trang web trên nền tảng Internet (URL) được tạo thủ công và việc sử dụng sai các điều kiện mẫu bên trong công cụ mẫu của vBulletin.

Bằng cách đưa mã mẫu được tạo thủ công bằng phương thức 'replaceAdTemplate' dễ bị tấn công, kẻ tấn công sẽ bỏ qua các bộ lọc "không an toàn" bằng các thủ thuật như lệnh gọi hàm biến PHP.

Điều này dẫn đến việc thực thi mã hoàn toàn từ xa, không được xác thực trên máy chủ cơ sở, về cơ bản cấp cho kẻ tấn công quyền truy cập shell với tư cách là người dùng máy chủ web (ví dụ: www-data trên Linux).

Vào ngày 26/5 vừa qua, nhà nghiên cứu bảo mật Ryan Dewhurst đã báo cáo rằng, họ thấy các nỗ lực khai thác trên nhật ký honeypot hiển thị các yêu cầu đến điểm cuối 'ajax/api/ad/replaceAdTemplate' dễ bị tấn công.

Dewhurst đã lần theo dấu vết của một trong những kẻ tấn công đến từ Ba Lan và phát hiện ra các nỗ lực triển khai cửa hậu PHP để thực thi các lệnh hệ thống.

Nhà nghiên cứu lưu ý rằng các cuộc tấn công dường như đang tận dụng lỗ hổng được chuyên gia Romano công bố trước đó, mặc dù đã có các mẫu Nuclei có sẵn cho lỗ hổng này kể từ ngày 24/5/2025.

Điều quan trọng cần làm rõ là Dewhurst chỉ quan sát thấy các nỗ lực khai thác đối với CVE-2025-48827, nhưng vẫn chưa có bằng chứng nào cho thấy kẻ tấn công đã thành công trong việc liên kết nó với RCE đầy đủ, mặc dù điều này rất có thể xảy ra.

Sự cố vBulletin

vBulletin là một trong những nền tảng diễn đàn thương mại dựa trên PHP/MySQL được sử dụng rộng rãi nhất, hỗ trợ hàng nghìn cộng đồng trực tuyến trên toàn cầu.

Thiết kế mô-đun của nó, bao gồm API di động và giao diện AJAX, khiến nó trở thành một nền tảng phức tạp và linh hoạt. Tuy nhiên, nó cũng phơi bày một bề mặt tấn công rộng.

Trước đây, tin tặc đã lợi dụng các lỗ hổng nghiêm trọng trong nền tảng để xâm nhập các diễn đàn phổ biến và đánh cắp dữ liệu nhạy cảm của số lượng lớn người dùng.

Người quản lý diễn đàn được khuyến nghị áp dụng các bản cập nhật bảo mật cho cài đặt vBulletin của họ hoặc chuyển sang bản phát hành mới nhất, phiên bản 6.1.1, không bị ảnh hưởng bởi các lỗ hổng nói trên.