Karma(In)Security의 보안 연구원들은 vBulletin 포럼 소프트웨어에서 두개의 치명적인 원격코드 실행 취약점(CVE-2025-48827, CVE-2025-48828)을 발견하였습니다.
해당 취약점은 2024년 4월 패치 버전이 발표되면서 패치가 진행되었을 가능성이 있지만 업그레이드를 하지 않은 많은 사이트가 여전히 위험에 노출되어 있으며, 실제로 적극적으로 악용되고 있는 것으로 확인되고 있습니다.
발표된 취약점을 악용하면 인증되지 않은 공격자가 서버에서 임의의 코드를 실행하여 시스템 손상으로 이어질 수 있습니다. 해당 취약점은 실제로 야생에서 악용되고 있는 것으로 확인되었습니다.
vBulletin의 API 컨트롤러에서 내부용으로 보호되어야 할 메서드를 PHP 8.1 이상 환경에서 외부에서 호출할 수 있게 되면서 발생한 원격 코드 실행(RCE) 취약점입니다. Reflection 기능의 잘못된 사용으로 인해 공격자는 인증 없이 서버 내의 중요한 기능을 실행할 수 있습니다.
vBulletin의 템플릿 엔진에서 조건문 처리 방식의 허점을 이용하여 PHP 코드를 우회 실행할 수 있는 취약점입니다. 공격자는 템플릿 내 특정 문법을 악용해 필터링을 우회하고, PHP 함수를 직접 호출해 서버 명령을 실행할 수 있습니다. 이 역시 원격 코드 실행(RCE) 으로 이어집니다.
PHP 8.1버전 이상에서 실행되는 경우,