Nach Attacken auf Webforen, die mit vBulletin erstellt wurden, führen Angreifer Schadcode aus und kompromittieren Server. Die beiden mittlerweile geschlossenen Schwachstellen gelten als "kritisch". Damit erstellte Webforen sind aber nur verwundbar, wenn PHP 8.1 installiert ist.
Vor den Attacken warnt ein Sicherheitsforscher, der die Lücken (CVE-2025-48827, CVE-2025-48828) entdeckt hat. Die erste Schwachstelle ist mit dem maximal möglichen CVSS Score 10 von 10 eingestuft. In einem Beitrag zeigt er detaillierte Informationen zu den Schwachstellen auf.
Das Sicherheitsproblem findet sich in der PHP Reflection API im Zusammenspiel mit PHP 8.1. In diesem Kontext können Angreifer auf eigentlich geschützte Bereiche manipulierend zugreifen, Sicherheitsfunktionen umgehen und am Ende Schadcode ausführen.
Der Forscher gibt an, dass Angreifer derzeit nur die erste Lücke ausnutzen, um eine Hintertür zu installieren. Angriffe sollen ohne Authentifizierung möglich sein. In welchem Umfang die Attacken ablaufen, ist derzeit unklar. Ihm zufolge sind die Versionen 5.0.0 bis einschließlich 5.7.5 und 6.0.0 bis einschließlich 6.0.3 verwundbar.
Um Attacken vorzubeugen, müssen Webadmins sicherstellen, dass vBulletin 5.7.5 Patch Level 3 oder 6.x Patch Level 1 installiert sind. Die Sicherheitsupdates sind bereits seit mehr als einem Jahr verfügbar, aber offensichtlich bisher nicht flächendeckend installiert.
Webforen auf vBulletin-Basis sind nach wie vor weitverbreitet und Angreifer nutzen immer wieder Sicherheitslücken aus, um Server zu kompromittieren. 2021 haben Cyberkriminelle über eine solche Lücke etwa einen Erpressungstrojaner verteilt.
(
Sie haben heise+ bereits abonniert? Hier anmelden.
Oder benötigen Sie mehr Informationen zum heise+ Abo