Обнаружена критическая уязвимость в phpBB, позволяющая войти в учётную запись любого пользователя

Компания Aikido Security, работающая в сфере кибербезопасности, сообщила о критической уязвимости в phpBB — популярном движке интернет-форумов.

Уязвимость (ей присвоен идентификатор CVE-2026-48611), выявленная ИИ-утилитой Aikido Attack, позволяет полностью пропустить процесс авторизации и войти на форум под учётной записью любого пользователя, включая администратора.

Подробности пока не раскрываются, несмотря на то, что исправление выпущено ещё 6 июня. Уязвимы все версии phpBB, начиная с 3.1.0-a1 и заканчивая 3.3.16/4.0.0-a2. Проблема устранена в выпуске 3.3.17. Владельцам крупных форумов отправлены оповещения.

Портал OpenNET приводит пример рабочего эксплоита:

Эксплуатация сводится к отправке одного HTTP-запроса с указанием логина жертвы. В файле cookies.txt окажется сессионная кука, которую злоумышленник подставит в свой браузер.

С правами обычного пользователя атакующий может читать личные сообщения пользователя и отправлять посты от имени жертвы. С учётной записью администратора возможности гораздо шире: можно править и удалять чужие посты, банить, разбанивать и удалять учётные записи, а также видеть IP-адреса пользователей.

Атакующий не сможет зайти в панель администрирования из захваченного сеанса, поскольку для этого потребуется ввести пароль, которого он не знает. Тем не менее, представляется возможным следующий сценарий:

злоумышленник регистрируется как обычный пользователь (с известным ему паролем)

находит самого главного администратора (founder/leader). Зачастую это учётная запись с ID = 2. В любом случае нетрудно найти этого админа, заглянув в список администраторов.

с помощью эксплойта получает сессию этого администратора

заходит в управление группами и добавляет созданного ранее пользователя в главные администраторы

п