vBulletin 远程代码执行漏洞(CVE-2025-48827)预警
1、基本情况
vBulletin 是一款功能强大的开源论坛软件,它支持多种数据库,如 MySQL、PostgreSQL 等。它提供了灵活的权限管理系统,让管理员可以精细控制不同用户组和用户的访问权限和功能使用,适用于各种规模的在线社区。
近日,监测发现 vBulletin 官方发布安全公告,修复了 vBulletin 远程代码执行漏洞(CVE-2025-48827),攻击者可能通过未认证的方式调用受保护的 API 控制器的方法,例如通过访问 vBulletin 的 AJAX API 并尝试调用受保护的方法来验证漏洞。
建议广大用户做好资产自查以及预防工作,以免遭受黑客攻击。
2、影响范围
受影响版本
⚫ 5.0.0 <= vBulletin < 5.7.6
⚫ 6.0.0 <= vBulletin < 6.0.4
3、处置建议
目前这些漏洞已经修复,受影响用户可安装最新版本补丁。
下载地址:https://www.vbulletin.com/
4、参考链接
1) https://karmainsecurity.com/dont-call-that-protected-method-vbulletin-rce
2) https://blog.kevintel.com/vbulletin-replaceadtemplate-kev/
3) https://nvd.nist.gov/vuln/detail/CVE-2025-48827