Popüler forum yazılımı vBulletin’de tespit edilen iki kritik güvenlik açığı, siber saldırganların dikkatini çekti. CVE-2025-48827 ve CVE-2025-48828 kodlarıyla takip edilen bu açıklar, uzaktan kod çalıştırma (RCE) ve API üzerinden yetkisiz erişim gibi ciddi riskler barındırıyor. Özellikle CVE-2025-48827 açığı, saldırganların hedef sunucuda doğrudan komut çalıştırabilmesine olanak tanıyor.
Açıklar Hangi Sürümleri Etkiliyor?
Söz konusu güvenlik açıkları, vBulletin’in 5.0.0 ile 5.7.5 ve 6.0.0 ile 6.0.3 sürümleri arasında yer alan tüm versiyonları etkiliyor. Açıkların yalnızca PHP 8.1 ve üzeri sürümlerde çalışan sistemlerde çalıştığı tespit edildi. Güvenlik araştırmacıları, bu açıklardan birinin aktif olarak kullanıldığını belirtti.
Araştırmacı Egidio Romano, 23 Mayıs 2025 tarihinde yaptığı teknik paylaşımda, açığın PHP’nin Reflection API kullanımındaki bir değişiklikten kaynaklandığını ortaya koydu. PHP 8.1 ile gelen yenilikler, korumalı metotların uygunsuz şekilde çağrılmasına olanak tanıyor. Romano, vBulletin’in ‘replaceAdTemplate’ isimli yöntemi üzerinden oluşturulan özel şablon kodlarının filtreleri aşabildiğini ve sunucuda uzaktan komut çalıştırıldığını gösterdi.
26 Mayıs 2025 tarihinde güvenlik araştırmacısı Ryan Dewhurst, honeypot sistemlerinde bu açıklara yönelik saldırı girişimleri tespit etti. Saldırganların Polonya’dan geldiği ve sisteme PHP arka kapılar yerleştirmeye çalıştığı belirlendi. Bu saldırılarda, Romano’nun yayınladığı teknik dokümanın kullanıldığı anlaşıldı. Henüz tam anlamıyla başarılı saldırılar raporlanmasa da, uzaktan erişim elde edilmesi ihtimali oldukça yüksek.
vBulletin, dünya genelinde binlerce çevrim içi topluluğa hizmet veriyor. Modüler yapısı sayesinde çok yönlü kullanım imkânı sunsa da, karmaşık mimarisi geniş bir saldırı yüzeyi oluşturuyor. Geçmişte de platform üzerinde bulunan ciddi açıklar nedeniyle büyük forumlar zarar görmüş, kullanıcı verileri ele geçirilmişti.
Uzmanlar, vBulletin kullanıcılarının vakit kaybetmeden güvenlik yamalarını uygulamasını ya da doğrudan 6.1.1 sürümüne geçmesini öneriyor. Bu sürüm, söz konusu açıkları içermiyor ve daha güvenli bir yapı sunuyor.
