Разработчики phpBB выпустили обновление, устраняющее критическую уязвимость обхода аутентификации, которая существовала в коде форумного движка около 10 лет. Проблема позволяла атакующему войти под любой учетной записью (включая администратора), и для атаки не требовалось соблюдение специальных условий или глубокое знание внутреннего устройства платформы.
В начале июня 2026 года уязвимость обнаружили специалисты компании Aikido, которые передали информацию разработчикам через программу bug bounty на HackerOne. В phpBB оперативно отреагировали на отчет и уже 6 июня выпустили патч, вошедший в состав версии 3.3.17.
По данным исследователей, ошибка появилась в кодовой базе около 10 лет назад и затрагивает все версии веток 3.x и 4.x вплоть до phpBB 3.3.16 и 4.0.0-a2. При этом для ветки 4.x стабильного исправления пока нет.
Как отмечают эксперты, уязвимость работала в конфигурации по умолчанию, а для эксплуатации не требовались какие-либо дополнительные условия. Исследователи предупреждают, что владельцам форумов на версиях 3.3.16 и ниже следует как можно скорее обновиться до 3.3.17. Из-за отсутствия патча пользователям ветки 4.x рекомендуют перейти на актуальную версию.
Отмечается, что после установки обновления некоторые форумы могут столкнуться с проблемами в работе OAuth-аутентификации (это связано с переносом обработчика OAuth-переадресации).
Получив права администратора в phpBB, атакующий получал возможность читать личные сообщения пользователей, создавать и удалять учетные записи, модифицировать содержимое форума, выдавать себя за сотрудника ресурса и полностью изменять внешний вид сайта. Поиск потенциальных жертв тоже не представлял сложности: на форумах phpBB список участников по умолчанию открыт для всех посетителей.
При этом исследователи подчеркивают, что баг не позволяет добиться удаленного выполнения кода, так как этому препятствует отдельная проверка пароля для доступа к панели администрирования.
Пока технические детали проблемы не раскрываются, и подробный разбор уязвимости будет опубликован позднее. Специалисты объясняют это необходимостью дать администраторам больше времени на установку патчей. Более того, исследователи из Aikido сообщили, что уже связались с владельцами ряда крупных форумов на phpBB и предупредили их об угрозе напрямую.
