В версии phpBB 3.3.17 устранена критическая уязвимость
Добавлено: 13 июн 2026, 04:50
В версии phpBB 3.3.17 устранена критическая уязвимость CVE-2026-48611, которая позволяла злоумышленнику получить доступ к аккаунту любого пользователя (включая администраторов) без аутентификации через один HTTP-запрос. Эта уязвимость присутствовала во всех версиях phpBB до 3.3.17, а также в версии 4.0.0-a2.
Описание уязвимости
Уязвимость связана с некорректной проверкой аутентификации в реализации OAuth. Она позволяла перехватывать учётные записи пользователей даже при отключённом или не настроенном OAuth. Проблема проявлялась в конфигурации phpBB по умолчанию (при использовании auth_method=db).
Эксплуатация уязвимости требовала только известного имени пользователя. В стандартных установках phpBB список участников доступен публично, что упрощало подбор целей для атаки.
Последствия атаки
При успешной эксплуатации злоумышленник получал действительную сессию phpBB от имени любого активного пользователя:
- Для обычных аккаунтов это давало доступ к личным сообщениям и любому контенту, доступному пользователю.
- Для администраторов — полный доступ на чтение, запись и удаление данных форума: постов, приватных разделов, просмотр данных пользователей и т. д.
Однако злоумышленник не мог получить доступ к панели администрирования (ACP), так как для этого требовалась повторная аутентификация с паролем.
Исправление
Уязвимость была устранена в версии phpBB 3.3.17, выпущенной 6 июня 2026 года. Обновление также включало другие улучшения безопасности, например:
- исправление проблемы с некорректной проверкой прав доступа в панели администратора (ACP);
- устранение потенциальной SQL-инъекции при миграции полей профиля;
- доработки в обработке OAuth.
Рекомендации
Единственным полным решением является обновление до версии phpBB 3.3.17 или новее. Конфигурационных обходных путей, полностью закрывающих эту уязвимость в предыдущих версиях, не существует.
Если OAuth не используется, рекомендуется его отключить до обновления. Также стоит провести аудит логов доступа к аккаунтам на предмет признаков несанкционированной активности.
Описание уязвимости
Уязвимость связана с некорректной проверкой аутентификации в реализации OAuth. Она позволяла перехватывать учётные записи пользователей даже при отключённом или не настроенном OAuth. Проблема проявлялась в конфигурации phpBB по умолчанию (при использовании auth_method=db).
Эксплуатация уязвимости требовала только известного имени пользователя. В стандартных установках phpBB список участников доступен публично, что упрощало подбор целей для атаки.
Последствия атаки
При успешной эксплуатации злоумышленник получал действительную сессию phpBB от имени любого активного пользователя:
- Для обычных аккаунтов это давало доступ к личным сообщениям и любому контенту, доступному пользователю.
- Для администраторов — полный доступ на чтение, запись и удаление данных форума: постов, приватных разделов, просмотр данных пользователей и т. д.
Однако злоумышленник не мог получить доступ к панели администрирования (ACP), так как для этого требовалась повторная аутентификация с паролем.
Исправление
Уязвимость была устранена в версии phpBB 3.3.17, выпущенной 6 июня 2026 года. Обновление также включало другие улучшения безопасности, например:
- исправление проблемы с некорректной проверкой прав доступа в панели администратора (ACP);
- устранение потенциальной SQL-инъекции при миграции полей профиля;
- доработки в обработке OAuth.
Рекомендации
Единственным полным решением является обновление до версии phpBB 3.3.17 или новее. Конфигурационных обходных путей, полностью закрывающих эту уязвимость в предыдущих версиях, не существует.
Если OAuth не используется, рекомендуется его отключить до обновления. Также стоит провести аудит логов доступа к аккаунтам на предмет признаков несанкционированной активности.