記事本文(要約)
vBulletinに影響する2つの重大な脆弱性(CVE-2025-48827とCVE-2025-48828)が発見され、そのうち1つは既に実際に悪用されています。これらはAPIメソッドの呼び出しとテンプレートエンジンの誤用によるリモートコード実行(RCE)の脆弱性であり、CVSSスコアはそれぞれ10.0と9.0です。PHP 8.1以降で動作するvBulletinバージョン5.0.0から5.7.5と6.0.0から6.0.3が影響を受けます。この問題はおそらく昨年追加のパッチによって静かに修正されましたが、アップグレードが行われていないため多くのサイトが依然として脆弱です。セキュリティ研究者Egidio Romanoがこの脆弱性を発見し、攻撃方法をブログで詳述しました。攻撃者は脆弱なAPIを利用してサーバー上でリモートコードを実行することが可能です。フォーラムの管理者は速やかにセキュリティ更新を適用し、影響を受けないバージョン6.1.1に移行することが推奨されています。
※この要約はChatGPTを使用して生成されました。
公開日: Fri, 30 May 2025 15:26:06 -0400
Original URL: https://www.bleepingcomputer.com/news/security/hackers-are-exploiting-critical-flaw-in-vbulletin-forum-software/
詳細な技術情報
以下に、上記のvBulletinに関する脆弱性についての詳細なセキュリティ分析を示します。
CVE番号
- CVE-2025-48827: この脆弱性はAPIメソッドの呼び出しに関連します。
- CVE-2025-48828: この脆弱性はテンプレートエンジンを悪用したリモートコード実行(RCE)に関連します。
脆弱性の仕組み
- CVE-2025-48827:
- PHPのReflection APIの誤用により、保護されたメソッドがアクセス制御を回避して呼び出されることが可能になる。PHP 8.1の特定の振る舞いの変化が影響しています。
- CVE-2025-48828:
- vBulletinのテンプレートエンジンにおいて、テンプレート条件の誤用により、悪意のあるテンプレートコードを挿入できる。このコードが「replaceAdTemplate」メソッドを利用して「危険な関数」フィルターをバイパスし、サーバー上での未認証のリモートコード実行が可能になります。
攻撃手法
- 巧妙に作成されたURLで保護されたメソッドを呼び出し、テンプレートエンジンの条件を悪用してコードを挿入します。
- 攻撃者はPHP変数関数呼び出しを用いて、不正なテンプレートコードを実行します。
潜在的な影響
- 成功した攻撃により、攻撃者は対象サーバー上でのシェルアクセスを得ることができ、システムコマンドを実行することが可能です。
- ユーザーデータを含む機密情報が流出するリスクがあります。
推奨される対策
- 更新:
- vBulletinを最新のリリースバージョン6.1.1に更新し、脆弱性を修正することが最も重要です。
- 既にリリースされたPatch Level 1(6.*ブランチ)およびPatch Level 3(バージョン5.7.5)を適用していない場合は、直ちにアップデートを実施します。
- 監視:
- 過去のログをレビューし、異常なアクセスパターンや既知の悪用エンドポイントへの不審なアクセスを特定します。
- Honeypotや侵入検知システムを導入して、継続的な監視を行い、異常を迅速に検知します。
- セキュリティ対策の強化:
- WebサーバーとPHPのセキュリティ設定を見直し、安全なデフォルト設定を利用します。
- 不要な機能やアクセスを制限し、システムの攻撃面を縮小します。
- 教育と情報共有:
- フォーラムの管理者や運用チームに対して、これらの脆弱性に関する情報を共有し、緊急対応の必要性を周知します。
