İki kritik güvenlik açığı-CVE-2025-48827 ve CVE-2025-48828-kamuya açık olarak kullanılan PHP/MySQL forum yazılımı olan Vbulletin’e kamu açıklamasını takiben ve vahşi doğada gözlemlenen sömürüye atanmıştır.
Vbulletin sürümlerini 5.0.0 ila 6.0.3 etkileyen kusurlar, yetkili olmayan saldırganların uzaktan kod yürütme (RCE) elde etmesini sağlayarak binlerce çevrimiçi topluluğu riske atar.
Yansıma API istismarı ve şablon motoru baypas
Güvenlik açıkları, Mimari Gözetim ve PHP 8.1’in yöntem görünürlüğünün işlenmesindeki değişikliklerin bir kombinasyonundan kaynaklanmaktadır.
.png
)
VbulletIn’in API denetleyicisi mantığı, PHP’nin yansıma API’sını yanlış kullanır ve özellikle çağrılmasına izin verir protected ve hatta private üzerinden yöntemler ReflectionMethod::invoke().
PHP 8.1 veya üstünde çalışırken, bu kusur saldırganların doğrudan erişilememesi amaçlanan dahili yöntemleri doğrudan çağırmasına izin verir.
İlk güvenlik açığı (CVE-2025-48827), kimlik doğrulanmamış kullanıcıların korunan API denetleyici yöntemlerini çağırma yeteneğini içerir ve hazırlanmış istekleri kullanarak son noktalara göre hazırlanmış talepler /ajax/api/ad/replaceAdTemplate.
İkinci (CVE-2025-48828) Şablon motoru zayıflıklarından yararlanır;
Bu kod daha sonra, yerleşik güvenlik kontrollerini ve filtrelerini atlayarak bir render isteği tetiklenerek yürütülebilir.
Örnek İstismar yükü:
phpBir HTTP Post talebiyle gönderilen bu yük, saldırganların sunucudaki keyfi sistem komutlarını web sunucusu kullanıcısı olarak yürütmesini sağlar (genellikle www-data Linux’ta).
Sömürü zaman çizelgesi ve algılama
Güvenlik açıkları ilk olarak 23 Mayıs 2025’te araştırmacı Egidio Romano (EGIX) tarafından açıklandı ve aynı gün yayınlanan kavram (POC) kodu ile açıklandı.
Güvenlik araştırmacıları, Polonya’da savunmasız uç noktayı hedefleyen bir IP adresine kadar izlenen saldırılar da dahil olmak üzere aktif sömürü girişimleri gözlemledi.
Saldırılar, otomatik tarama şablonları yerine orijinal POC kullandı ve hedeflenen sömürüyü gösterdi.
SANS İnternet Fırtına Merkezi ve birden fazla balpot, 25 Mayıs 2025’ten itibaren problar ve sömürü girişimlerini bildirdi.
Kusurlara 27 Mayıs 2025’te resmi olarak CVES atandı ve bilinen sömürülen güvenlik açıkları (KEV) listesine eklendi.
Örnek Saldırı Günlüğü Tablosu
| Tarih ve Saat (UTC) | Uç nokta erişildi | Kaynak ip | Kullanıcı aracısı |
|---|---|---|---|
| 2025-05-26 08: 23: 28.193 | ajax/api/ad/replaceadtemplate | 195.3.221.137 | Mozilla/5.0 (Windows NT 10.0; Win64; x64) Chrome/131.0.6778.140 |
| 2025-05-26 08: 23: 28.242 | ajax/api/ad/replaceadtemplate | 195.3.221.137 | Mozilla/5.0 (Windows NT 10.0; Win64; x64) Chrome/131.0.6778.140 |
| 2025-05-26 08: 24: 33.429 | ajax/api/ad/replaceadtemplate | 195.3.221.137 | Mozilla/5.0 (Windows NT 10.0; Win64; x64) Chrome/131.0.6778.140 |
Etki, etkilenen versiyonlar ve hafifletme
Güvenlik açıkları, CVSS V3.1 puanları sırasıyla 10.0 ve 9.0 ile kritik olarak derecelendirilmiştir. Özellikle PHP 8.1 veya üstünde çalışırken Vbulletin sürümlerini 5.0.0 ila 5.7.5 ve 6.0.0 ila 6.0.3 ile etkiler.
Başarılı sömürü, saldırganlara sunucu üzerinde tam kontrol verir, bu da potansiyel olarak veri hırsızlığına, bozulmasına veya bağlı sistemlerin daha da uzlaşmasına yol açar.
Azaltma Adımları:
- Hemen Vbulletin 6.0.4 veya üstüne yükseltin veya etkilenen 6.x sürümleri için Yama Seviye 1’i ve 5.7.5 için Yama Seviyesi 3’ü uygulayın.
- Qualys QID 732555 gibi araçları kullanarak savunmasız kurulumlar için tarama.
- Şüpheli erişim için günlükleri izleyin
ajax/api/ad/replaceAdTemplate.
Özet Tablo: Etkilenen ve Yamalı Sürümler
| Vbulletin sürümü | Yama seviyesi gerekli | Durum |
|---|---|---|
| 5.0.0 – 5.7.5 | Yama seviye 3 | Yamalı |
| 6.0.0 – 6.0.3 | Yama Seviye 1 | Yamalı |
| 6.0.4+ | N/A | Savunmasız değil |
| 6.1.1 | N/A | Savunmasız değil |
CVE-2025-48827 ve CVE-2025-48828’in atanması, bu vbulletin kusurlarını kritik olarak belirtir ve aktif sömürü doğrulanır.
Saldırganlar, savunmasız forum kurulumları üzerinde tam kontrol sahibi olmak için bu güvenlik açıklarından yararlandıkları için yöneticiler derhal yama ve sistemlerini denetlemeleri istenir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!