Vulnerabilidade de bypass de autenticação no phpBB permite acesso não autorizado
Uma vulnerabilidade de bypass de autenticação, descoberta no software de fórum phpBB, permite que um atacante faça login como qualquer usuário, incluindo administradores. Essa falha, que não possui um identificador, é fácil de explorar com uma única requisição HTTP e afeta as versões 4.0.0-a2 e 3.3.16 ou anteriores. A empresa de segurança Aikido identificou o problema em 2 de junho e notificou os desenvolvedores, que corrigiram a falha em 6 de junho com o lançamento da versão 3.3.17. A vulnerabilidade, que existe há 10 anos, impacta todas as versões das ramificações 3.x e 4.x até as mencionadas. O acesso administrativo possibilita que atacantes visualizem mensagens privadas, modifiquem ou excluam conteúdos e contas de usuários, além de se passarem por membros da equipe. Embora a execução remota de código não seja possível devido a uma verificação de senha separada, a falha representa um risco significativo, especialmente em configurações padrão. Aikido recomenda que os administradores atualizem imediatamente para evitar compromissos. Vale ressaltar que a atualização pode causar problemas em fóruns que utilizam autenticação OAuth, mas a correção deve ser simples na maioria dos casos.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).