Реклама, АО «Позитив Текнолоджиз», ИНН 7718668887, 18+
Image

Ландшафт киберугроз: от модного термина к рабочему инструменту

Вебинар 23 июня в 14:00. Подробный разбор от TI-экспертов PT ESC

Один запрос, захват аккаунта и доступ к личным перепискам. Критическая дыра в phpBB поставила под удар миллионы форумов

2789
Aikido phpBB HTTP доступ уязвимость
Один запрос, захват аккаунта и доступ к личным перепискам. Критическая дыра в phpBB поставила под удар миллионы форумов
Aikido phpBB HTTP доступ уязвимость

В phpBB нашли уязвимость, позволявшую обойти авторизацию и читать чужую переписку.

image

Старые интернет-форумы давно перестали быть центром цифровой жизни, но многие из них по-прежнему хранят личные сообщения, закрытые разделы и учётные записи с многолетней историей. В популярной платформе phpBB нашли критическую уязвимость, которая позволяла войти на форум под именем любого пользователя всего одним HTTP-запросом.

Проблему обнаружили в Aikido. По данным специалистов, уязвимость обхода проверки подлинности затрагивает phpBB 3.3.16 и более ранние версии, а также 4.0.0-a2. Опасность усиливает то, что ошибка работает в стандартной настройке форума и не требует от атакующего специальных знаний.

phpBB остаётся одной из самых известных открытых платформ для форумов. Проект существует с 2000 года, а на его основе до сих пор работают крупные сообщества, включая форумы Joomla и Debian. Только в витрине сайтов phpBB указаны площадки с миллионами участников, а реальное число пользователей заметно выше из-за множества отдельных установок.

Суть найденной проблемы сводилась к тому, что злоумышленник мог получить действующий сеанс другого пользователя без пароля. На стандартном форуме список участников открыт, поэтому выбрать цель было несложно. Захватив обычную учётную запись, атакующий получал доступ к личным сообщениям и закрытым материалам, доступным жертве. Захватив учётную запись администратора, злоумышленник мог читать, менять и удалять данные на форуме.

Выполнить код удалённо через эту уязвимость напрямую нельзя. Разработчики phpBB закрыли доступ к панели администратора дополнительной проверкой пароля, поэтому найденная ошибка не позволяла сразу загрузить вредоносное расширение или полностью захватить сервер. Однако если злоумышленник захватит учётную запись администратора, это само по себе крайне опасно для любого сообщества.

Aikido передала сведения о проблеме команде phpBB 2 июня 2026 года через программу раскрытия уязвимостей на HackerOne. Разработчики проверили отчёт за девять минут, а уже 6 июня выпустили phpBB 3.3.17 с исправлением. Технические подробности пока не раскрывают, чтобы дать администраторам время обновить сайты.

Команда phpBB призвала администраторов как можно быстрее перейти на версию 3.3.17. Для ветки 4.x безопасного выпуска пока нет, поэтому пользователям 4.0.0-a2 рекомендуют обновиться до основной ветки разработки. Если быстро установить обновление невозможно, разработчики советуют использовать временный способ защиты из срочного объявления на форуме поддержки.