CVE-2025-48827

Nome do Software Vulnerável e Versões Afetadas Versões do vBulletin 5.0.0 a 5.7.5 Versões do vBulletin 6.0.0 a 6.0.3

Descrição O problema permite que usuários não autenticados invoquem métodos protegidos dos controladores da API quando executado em PHP 8.1 ou posterior, conforme demonstrado pelo padrão "/api.php?method=protectedMethod". Esta vulnerabilidade foi explorada na natureza em maio de 2025. Estima-se que mais de 42.500 serviços estejam potencialmente afetados. A vulnerabilidade decorre do uso incorreto do ReflectionMethod::invoke() pelo vBulletin, que no PHP 8.1+ não bloqueia mais o acesso a métodos protegidos por padrão. Atacantes podem acionar remotamente funções internas sensíveis originalmente destinadas a serem inacessíveis e obter execução de código no servidor.

Recomendações Para as versões do vBulletin 5.0.0 a 5.7.5, considere desabilitar os controladores da API vulneráveis até que uma correção esteja disponível. Para as versões do vBulletin 6.0.0 a 6.0.3, restrinja o acesso aos endpoints da API vulneráveis, como "/api.php?method=protectedMethod", para minimizar o risco de exploração. Como solução temporária, considere desabilitar a função ReflectionMethod::invoke() até que uma correção esteja disponível. Evite usar o parâmetro protectedMethod no endpoint da API afetado até que o problema seja resolvido.