开源论坛软件 phpBB 曝身份认证绕过漏洞，官方发布 3.3.17 版本更新修复

6 月 16 日消息，据 phpBB 通报，旧版 phpBB（包括 3.3.16 及之前所有 3.x 版本，以及 4.0.0-a2 之前的全部 4.x 测试版本）均含有一项身份认证绕过漏洞，黑客可利用漏洞直接登录任意用户账号（甚至包括论坛管理员账号），目前官方已发布 3.3.17 版本安全更新，修复了相应漏洞。

获悉，该漏洞由安全公司 Aikido 发现，并通过 HackerOne 平台向官方披露。Aikido 表示，这一漏洞已经存在超过 10 年，黑客仅需发送特定的 HTTP 请求即可触发漏洞并登录任意账号。由于 phpBB 默认会公开论坛用户列表，攻击者能够轻松获取用户名，从而冒充管理员或普通用户，读取用户私信等敏感信息；若成功获取管理员权限，还可进一步获得论坛内容的完整读取、修改和删除权限。

不过，由于 phpBB 的后台管理面板（Admin Control Panel，ACP）采用独立密码保护机制，因此该漏洞暂时无法直接导致远程代码执行（RCE）风险。