Критическая уязвимость в phpBB: хакеры могут войти под любым пользователем

Специалисты компании Aikido Security, занимающейся кибербезопасностью, выявили критическую уязвимость в phpBB — одном из самых распространённых движков для создания интернет-форумов. Ошибка позволяет злоумышленнику полностью пропустить процесс авторизации и войти на форум под учётной записью любого пользователя, включая администратора.

Уязвимость была обнаружена с помощью фирменной ИИ-утилиты Aikido Attack, которая автоматически анализирует код на предмет опасных дефектов. По данным компании, проблема связана с некорректной обработкой сессионных данных, что даёт возможность манипулировать механизмом входа.

phpBB используется на миллионах форумов по всему миру, включая крупные сообщества и проекты. В случае эксплуатации этой уязвимости злоумышленник может получить полный контроль над сайтом: изменять настройки, удалять данные, рассылать спам от имени администрации.

Aikido Security уже уведомила разработчиков phpBB о найденной проблеме. На данный момент официальный патч ещё не выпущен, поэтому администраторам форумов рекомендуется временно отключить возможность входа через сторонние сервисы и усилить мониторинг подозрительной активности.

Это не первая серьёзная уязвимость в phpBB за последние годы, но текущая угроза считается особенно опасной из-за простоты эксплуатации. Эксперты советуют владельцам форумов следить за обновлениями и как можно скорее установить исправление, как только оно появится.