Kritische Sicherheitslücken in vBulletin Connect

Das Bundesamt für Sicherheit in der Informationstechnik veröffentlichte am 27. Mai 2025 eine Schwachstellenmeldung zu den folgenden kritischen Sicherheitslücken in der Software vBulletin Connect:

• CVE-2025-48827 ermöglicht Angreifenden unter bestimmten Umständen, geschützte API-Controller-Methoden aufzurufen und zu manipulieren.
• CVE-2025-48828 ermöglicht Angreifenden Remote Code Execution (RCE).

Laut Meldung des BSI sind die folgenden Versionen der Software von den Schwachstellen betroffen:

• vBulletin Connect 5.0.0-5.7.5
• vBulletin Connect 6.0.0-6.0.3

Bisher sind keine abgesicherten Versionen verfügbar. Zudem existiert bereits ein Proof of Concept (PoC) zu den Sicherheitslücken.

• Prüfen Sie Ihr vBulletin-Connect-System und Ihre sonstigen Systeme auf Anzeichen einer Kompromittierung.
• Prüfen Sie regelmäßig, ob ein Update zu vBulletin Connect veröffentlicht wurde.
• Verwenden Sie Anti-Malware-Software sowie Firewalls und aktualisieren Sie diese regelmäßig oder richten Sie automatische Update-Zyklen ein.