phpBB Corrige Vulnerabilidade Crítica de Bypass de Autenticação de 10 Anos
Uma falha de segurança de longa data no phpBB, que permitia o bypass de autenticação e acesso a contas de administrador, foi finalmente corrigida. Especialistas da Aikido descobriram a vulnerabilidade, que afetava diversas versões do software.
MundiX News·17 de junho de 2026·4 min de leitura·👁 8 views
Desenvolvedores do phpBB lançaram uma atualização para corrigir uma vulnerabilidade crítica de bypass de autenticação que existia no código do motor de fórum há aproximadamente 10 anos. O problema permitia que um atacante fizesse login como qualquer conta de usuário (incluindo administradores), sem a necessidade de condições especiais ou conhecimento profundo do funcionamento interno da plataforma.
No início de junho de 2026, a vulnerabilidade foi descoberta por especialistas da empresa Aikido, que repassaram as informações aos desenvolvedores através do programa bug bounty na HackerOne. O phpBB respondeu prontamente ao relatório e, em 6 de junho, lançou um patch que foi incluído na versão 3.3.17.
De acordo com os pesquisadores, o erro surgiu na base de código há cerca de 10 anos e afeta todas as versões das branches 3.x e 4.x até phpBB 3.3.16 e 4.0.0-a2. No entanto, para a branch 4.x, um patch estável ainda não está disponível.
Como observado pelos especialistas, a vulnerabilidade funcionava na configuração padrão, e sua exploração não exigia quaisquer condições adicionais. Os pesquisadores alertam que os proprietários de fóruns nas versões 3.3.16 e anteriores devem atualizar para a versão 3.3.17 o mais rápido possível. Devido à ausência de um patch, recomenda-se que os usuários da branch 4.x migrem para uma versão atual.
É importante notar que, após a instalação da atualização, alguns fóruns podem enfrentar problemas com a autenticação OAuth (isso está relacionado à migração do manipulador de redirecionamento OAuth).
Ao obter privilégios de administrador no phpBB, um atacante poderia ler mensagens privadas de usuários, criar e excluir contas, modificar o conteúdo do fórum, personificar funcionários do recurso e alterar completamente a aparência do site. A busca por vítimas potenciais também não era complicada: em fóruns phpBB, a lista de membros é aberta por padrão para todos os visitantes.
Os pesquisadores enfatizam que o bug não permite a execução remota de código (RCE), pois uma verificação de senha separada para acesso ao painel de administração impede isso.
Os detalhes técnicos do problema ainda não foram divulgados, e uma análise aprofundada da vulnerabilidade será publicada posteriormente. Os especialistas explicam isso pela necessidade de dar aos administradores mais tempo para instalar os patches. Além disso, os pesquisadores da Aikido informaram que já entraram em contato com os proprietários de vários fóruns phpBB de grande porte e os alertaram diretamente sobre a ameaça.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Desenvolvedores do phpBB lançaram uma atualização para corrigir uma vulnerabilidade crítica de bypass de autenticação que existia no código do motor de fórum há aproximadamente 10 anos. O problema permitia que um atacante fizesse login como qualquer conta de usuário (incluindo administradores), sem a necessidade de condições especiais ou conhecimento profundo do funcionamento interno da plataforma.
No início de junho de 2026, a vulnerabilidade foi descoberta por especialistas da empresa Aikido, que repassaram as informações aos desenvolvedores através do programa bug bounty na HackerOne. O phpBB respondeu prontamente ao relatório e, em 6 de junho, lançou um patch que foi incluído na versão 3.3.17.
De acordo com os pesquisadores, o erro surgiu na base de código há cerca de 10 anos e afeta todas as versões das branches 3.x e 4.x até phpBB 3.3.16 e 4.0.0-a2. No entanto, para a branch 4.x, um patch estável ainda não está disponível.
Como observado pelos especialistas, a vulnerabilidade funcionava na configuração padrão, e sua exploração não exigia quaisquer condições adicionais. Os pesquisadores alertam que os proprietários de fóruns nas versões 3.3.16 e anteriores devem atualizar para a versão 3.3.17 o mais rápido possível. Devido à ausência de um patch, recomenda-se que os usuários da branch 4.x migrem para uma versão atual.
É importante notar que, após a instalação da atualização, alguns fóruns podem enfrentar problemas com a autenticação OAuth (isso está relacionado à migração do manipulador de redirecionamento OAuth).
Ao obter privilégios de administrador no phpBB, um atacante poderia ler mensagens privadas de usuários, criar e excluir contas, modificar o conteúdo do fórum, personificar funcionários do recurso e alterar completamente a aparência do site. A busca por vítimas potenciais também não era complicada: em fóruns phpBB, a lista de membros é aberta por padrão para todos os visitantes.
Os pesquisadores enfatizam que o bug não permite a execução remota de código (RCE), pois uma verificação de senha separada para acesso ao painel de administração impede isso.
Os detalhes técnicos do problema ainda não foram divulgados, e uma análise aprofundada da vulnerabilidade será publicada posteriormente. Os especialistas explicam isso pela necessidade de dar aos administradores mais tempo para instalar os patches. Além disso, os pesquisadores da Aikido informaram que já entraram em contato com os proprietários de vários fóruns phpBB de grande porte e os alertaram diretamente sobre a ameaça.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
