Aanvallers maken actief misbruik van twee kritieke kwetsbaarheden in de populaire forumsoftware vBulletin, zo melden het Amerikaanse National Institute of Standards and Technology (NIST), Qualys en KEVIntel. Tienduizenden online fora draaien op vBulletin. Via de kwetsbaarheden, aangeduid als CVE-2025-48827 en CVE-2025-48828, kan een ongeauthenticeerde aanvaller op afstand code op kwetsbare systemen uitvoeren. De impact van CVE-2025-48827 is op een schaal van één tot en met 10 beoordeeld met een 10.0. CVE-2025-48828 heeft een impactscore van 9.0.

De problemen worden veroorzaakt door één van de API's (application programming interface) waar vBulletin gebruik van maakt, alsmede de template engine. De beveiligingslekken zijn aanwezig in vBulletin 5.0.0 tot en met 6.0.3 en waarschijnlijk vorig jaar april al gepatcht, aldus KEVIntel. In VBulletin 6.0.3 Patch Level 1, vBulletin 6.0.2 Patch Level 1, vBulletin 6.0.1 Patch Level 1 en vBulletin 5.7.5 Patch Level 3 zouden de problemen moeten zijn verholpen. Deze versies verschenen vorig jaar april. Forumbeheerders die hun vBulletin meer dan een jaar niet hebben geüpdatet moeten volgens KEVIntel dan ook van het ergste uitgaan. Qualys stelt op basis van een online scan dat er meer dan 26.000 "publiek beschikbare doelwitten" zijn.