phpBB 论坛修复潜伏十年的认证绕过漏洞

phpBB 论坛软件中发现了一个存在 10 年之久的身份验证绕过漏洞，允许攻击者以任何用户的身份登录，包括管理员。

该漏洞没有编号，且利用方式极为简单，只需一次 HTTP 请求即可完成。影响 phpBB 4.0.0-a2 或 3.3.16 及以下版本。

应用安全公司 Aikido 的研究人员于 6 月 2 日发现该漏洞，并通过开发者的 HackerOne 漏洞披露计划进行了报告。

phpBB 立即回应了该报告，并于 6 月 6 日在 3.3.17 版本中修复了该问题。

据 Aikido 称，该漏洞于 10 年前被引入 phpBB 的代码库，影响了 3.x 和 4.x 发布分支的所有版本，直至 3.3.16 和 4.0.0-a2。对于 4.x 版本，目前尚无修复方案。

phpBB 是一个基于 PHP 的免费开源网络论坛平台，在 2000 年代和 2010 年代初期达到流行巅峰。如今，它仍在为全球数千个论坛提供支持。

Aikido 表示，利用该漏洞无需特殊配置，在默认设置下即可触发。

"该漏洞在默认配置下即可利用，无需特殊知识，"Aikido 的报告写道。

"如果您使用的是 4.0.0-a2 或 3.3.16 及以下版本，请立即升级到 master（尚无安全的 4.x 版本）和 3.3.17，以避免被入侵。"

管理员访问权限可能使攻击者能够查看论坛上存储的所有私人消息，创建、修改或删除内容和用户账户，冒充工作人员，或篡改网站页面。

选择目标也很简单，因为 phpBB 论坛上的成员列表默认是公开的。

Aikido 指出，由于管理控制面板有独立的密码检查保护，因此无法实现远程代码执行（RCE）。

研究人员目前暂未披露所有技术细节，以便给论坛管理员足够的时间应用安全更新，并直接联系了大型 phpBB 论坛的管理员以提醒他们。

需要注意的是，此次更新可能导致使用 OAuth 认证的论坛出现问题，因为 OAuth 重定向处理器已移至新位置，但在大多数情况下这应该是一个简单的修复。

Aikido 承诺将在未来的报告中发布该漏洞的完整细节，但未提供具体时间表。