В phpBB исправлена критическая уязвимость обхода аутентификации
Фото: BleepingComputer
Краткий ответ
В phpBB обнаружена и исправлена критическая уязвимость обхода аутентификации, существовавшая более 10 лет. Баг позволял злоумышленникам авторизоваться под любым пользователем, включая администраторов, без знания пароля.
Команда разработчиков phpBB выпустила экстренное обновление безопасности, закрывающее критическую уязвимость в механизме аутентификации. Баг, обнаруженный специалистами по кибербезопасности, позволял злоумышленникам обходить проверку подлинности и авторизоваться под любым пользователем, включая администраторов форума, без знания пароля.
Уязвимость присутствовала в коде движка более десяти лет и затрагивала все версии, выпущенные с 2014 года. Эксперты отмечают, что баг мог использоваться для компрометации форумов, работающих на phpBB, включая крупные онлайн-сообщества. В группе риска оказывались платформы, где администраторы не обновляли ПО на протяжении длительного времени.
Разработчики настоятельно рекомендуют владельцам форумов на базе phpBB незамедлительно установить последнюю версию движка. Обновление доступно для скачивания на официальном сайте проекта. В патче устранена не только текущая уязвимость, но и ряд других потенциальных угроз безопасности, выявленных в ходе аудита кода.
Частые вопросы
- Что за уязвимость нашли в phpBB?
- Это баг обхода аутентификации, позволявший злоумышленникам входить в систему под любым аккаунтом, включая администраторские, без пароля. Уязвимость существовала с 2014 года.
- Какие версии phpBB затронуты?
- Уязвимость затрагивала все версии форумного движка, выпущенные с 2014 года. Рекомендуется обновиться до последнего патча.
- Как защитить форум на базе phpBB?
- Необходимо установить последнее обновление безопасности, выпущенное разработчиками. Это устранит риск несанкционированного доступа к учётным записям.
Лента для Дзен: /feed/dzen.xml · RSS: /feed.xml