Active Exploits Detected Targeting Critical vBulletin Vulnerability
2025/06/02 gbhackers — PHP/MySQL フォーラム・ソフトウェアとして広く使用される vBulletin に、2件の深刻な脆弱性 CVE-2025-48827/CVE-2025-48828 が発見されたが、実環境における悪用も確認されているという。これらの脆弱性が影響を及ぼす範囲は、vBulletin バージョン 5.0.0〜6.0.3 である。未認証の攻撃者に対して、リモート・コード実行 (RCE) を許すものであり、数千のオンライン・コミュニティが危険にさらされている。
Reflection API の悪用とテンプレート・エンジンのバイパス
これらの脆弱性は、vBulletin のアーキテクチャ上の欠陥と、PHP 8.1 におけるメソッド可視性処理の組み合わせにより発生している。vBulletin の API コントローラー・ロジックで、PHP の Reflection API が誤って使用され、ReflectionMethod::invoke() を介した protected/private メソッドの呼び出しが許可されている。
PHP 8.1 以降の環境下では、この脆弱性を悪用する攻撃者が、本来であれば外部から到達できないはずの内部メソッドを、ダイレクトに直接できてしまう。
1件目の脆弱性 CVE-2025-48827 は、未認証のユーザーであっても、 “/ajax/api/ad/replaceAdTemplate” などのエンドポイントに対して細工されたリクエストを送信することで、保護された API コントローラー・メソッドを呼び出せるというものだ。
2件目の脆弱性 CVE-2025-48828 は、テンプレート・エンジンの不備を悪用する攻撃者が、細工した <vb:if> 条件式を通じて、テンプレートに悪意の PHP コードを挿入できるものである。このコードはレンダリング・リクエストのトリガーにより実行され、ビルトインされているセキュリティ・チェックやフィルターをバイパスする。
エクスプロイト・ペイロードの例:
php<vb:if condition='"passthru"($_POST["cmd"])'></vb:if>
このペイロードは、HTTP POST リクエスト経由で送信され、Web サーバ・ユーザー (Linux においては通常 www-data) を装う攻撃者に対して、任意のシステム・コマンド実行を許すものである。
脆弱性の公開と検出
これら脆弱性は、2025年5月23日の時点で、研究者 Egidio Romano (EgiX) により報告され、同日に PoC エクスプロイト・コードも公開された。
その数日後に、このセキュリティ研究者が確認したのは、脆弱なエンドポイントを標的としたアクティブな悪用の試みが、ポーランドの IP アドレスから発信されていたことだ。これらの攻撃は、自動化されたスキャン・テンプレートではなく、オリジナルの PoC を利用した手動的な手法で行われており、標的型の攻撃であることが示唆される。
SANS Internet Storm Center および複数のハニーポットは、2025年5月25日以降において、この脆弱性を対象とするプローブおよび攻撃の試みが観測されたと報告している。これらの脆弱性は、2025年5月27日に CVE が割り当てられ、CISA の KEV リストにも追加された。
攻撃ログのサンプル表
| 日付と時刻 (UTC) | アクセスされたエンドポイント | ソース IP | ユーザーエージェント |
|---|---|---|---|
| 2025-05-26 08:23:28.193 | ajax/api/ad/replaceAdTemplate | 195.3.221.137 | Mozilla/5.0 (Windows NT 10.0; Win64; x64) Chrome/131.0.6778.140 |
| 2025-05-26 08:23:28.242 | ajax/api/ad/replaceAdTemplate | 195.3.221.137 | Mozilla/5.0 (Windows NT 10.0; Win64; x64) Chrome/131.0.6778.140 |
| 2025-05-26 08:24:33.429 | ajax/api/ad/replaceAdTemplate | 195.3.221.137 | Mozilla/5.0 (Windows NT 10.0; Win64; x64) Chrome/131.0.6778.140 |
影響を受けるバージョンと緩和策
これらの脆弱性は CVSS v3.1 において、CVE-2025-48827 がスコア 10.0、CVE-2025-48828 がスコア 9.0 と評価されており、いずれも重大な脅威とされている。影響を受ける範囲は、vBulletin のバージョン 5.0.0〜5.7.5/6.0.0〜6.0.3 であるが、PHP 8.1 以降の環境で実行されている場合にリスクが高くなるという。
この脆弱性の悪用に成功した攻撃者は、対象となるサーバの完全は制御を奪い、データ窃取/データ改竄に加え、接続されている他システムへの侵害なども引き起こす機会を得る。
緩和策
- vBulletin 6.0.4 以降への早急なアップグレード、または、影響を受けるバージョンに対して以下のパッチを適用する。
- バージョン 6.x 系: パッチレベル 1
- バージョン 5.7.5: パッチレベル 3
- Qualys QID 732555 などのスキャンツールを用いて、脆弱なインストールを検出する。
- “ajax/api/ad/replaceAdTemplate” への不審なアクセスをログで監視する。
影響を受けるバージョンとパッチ適用済みバージョン
| vBulletin バージョン | 必要なパッチレベル | ステータス |
|---|---|---|
| 5.0.0 – 5.7.5 | Patch Level 3 | パッチ適用済み |
| 6.0.0 – 6.0.3 | Patch Level 1 | パッチ適用済み |
| 6.0.4+ | N/A | 脆弱性なし |
| 6.1.1 | N/A | 脆弱性なし |
vBulletin の脆弱性 CVE-2025-48827/CVE-2025-48828 は、きわめて深刻なものであり、すでに実際の悪用も確認されている。これらの脆弱性を悪用する攻撃者が、脆弱なフォーラム・インストールにおいて、完全な制御権を取得していることが報告されている。そのため、ユーザーに対して強く推奨されるのは、速やかなパッチ適用と、システム監査の実施となる。
vBulletin に深刻な脆弱性が発生しています。未認証の攻撃者による、リモート・コード実行が可能になるという内容です。それにしても、PoC 公開から実際の攻撃の発生までが、とても短いですね。ご利用のチームは、十分に ご注意ください。よろしければ、PHP で検索/MySQL で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.