Deux failles critiques ont été découvertes dans vBulletin, un des logiciels de forum les plus utilisés au monde. L’une de ces failles est activement exploitée.

Les vulnérabilités concernées :

  • CVE-2025-48827 (score CVSS 10.0) : exécution de méthodes protégées via l’API.
  • CVE-2025-48828 (score CVSS 9.0) : exécution de code à distance (RCE) via le moteur de templates.

Ces failles touchent vBulletin versions 5.0.0 à 5.7.5 et 6.0.0 à 6.0.3, si le serveur utilise PHP 8.1 ou plus récent.

🚨 Exploitation active en cours

  • Découvertes le 23 mai 2025 par le chercheur Egidio Romano, qui a publié une démonstration technique détaillée.
  • Depuis le 26 mai, des attaques réelles ont été observées sur Internet, visant l’endpoint vulnérable ajax/api/ad/replaceAdTemplate.
  • Des tentatives d’installation de portes dérobées PHP ont été détectées.

👉 Pour l’instant, seule la faille CVE-2025-48827 a été observée en exploitation, mais il est probable que les attaquants parviennent à une exécution complète de code à distance très bientôt.

🧠 Pourquoi c’est dangereux ?

Ces failles permettent à un attaquant non authentifié de :

  • Contourner les protections du logiciel.
  • Injecter du code malveillant.
  • Prendre le contrôle total du serveur (accès shell en tant que www-data).

Cela peut entraîner le vol de données, l’espionnage ou l’utilisation du serveur pour d’autres attaques.

✅ Que faire ?

  • Mettez à jour vBulletin immédiatement :

    • Passez à la dernière version 6.1.1, non vulnérable.
    • Sinon, appliquez au minimum les correctifs suivants :
      • 5.7.5 Patch Level 3
      • 6.x Patch Level 1

  • Bloquez temporairement l’accès à l’API vulnérable si la mise à jour immédiate est impossible.

  • Surveillez les logs à la recherche d’accès suspects à ajax/api/ad/replaceAdTemplate.

📌 En résumé

Les failles CVE-2025-48827 et CVE-2025-48828 mettent en danger des milliers de forums basés sur vBulletin. Des attaques sont déjà en cours. Une mise à jour immédiate est nécessaire pour éviter une compromission totale du serveur.

🔗 Source originale : https://www.bleepingcomputer.com/news/security/hackers-are-exploiting-critical-flaw-in-vbulletin-forum-software/

🖴 Archive : https://web.archive.org/web/20250530204016/https://www.bleepingcomputer.com/news/security/hackers-are-exploiting-critical-flaw-in-vbulletin-forum-software/