10 éves hibára derült fény a phpBB-ben

A phpBB kapcsán egy súlyos sérülékenységre derült fény. A hiba körülbelül 10 éve került a webes alkalmazásba.
 

Az alkalmazásbiztonsággal foglalkozó Aikido cég biztonsági kutatói egy olyan hibára lettek figyelmesek a népszerű phpBB webalkalmazás kapcsán, amely 10 éven keresztül nem tűnt fel senkinek, illetve, ha azt bárki ismerte is, nem hozta nyilvánosságra.
 
A sebezhetőség viszonylag egyszerűen, speciálisan összeállított HTTP-kérésekkel válhat kihasználhatóvá, és a hitelesítés megkerülésére ad módot. A biztonsági hiba miatt bármely felhasználó vagy akár az adminisztrátor nevében is be lehet jelentkezni a phpBB fórumoldalakra anélkül, hogy a jelszót meg kellene adni.
 
A kockázatokat fokozza, hogy a sérülékenység az adminisztrátori hozzáféréseket is kiszolgáltatottá teszi, így a támadók tulajdonképpen bármit megtehetnek a kiszemelt oldalakkal.
 
A biztonsági rést a 4.0.0-a2 és a 3.3.16 verziók, valamint az ezeknél korábbi kiadások tartalmazzák.
 
Az Aikido a sérülékenységet a HackerOne hibavadász programján keresztül jelentette be június 2-án. A phpBB fejlesztői azonnal reagáltak a felfedezésre, és június 6-ára készült el az a 3.3.17-es verzió, amely már nem tartalmazza a hibát. A 4.x kiadások még nem kapták meg a foltot.