phpBB: Kritische Sicherheitslücke ermöglicht Kompromittierung

IT-Forscher haben in der populären Forensoftware phpBB Sicherheitslücken entdeckt, die etwa die Anmeldung mit jedem Nutzerkonto ermöglichen. Das ganze Board lässt sich damit übernehmen. Ein Update steht bereit, das Admins zügig anwenden sollten.

Das Leck finde sich seit zehn Jahren in der Software, schreibt der Anbieter des genutzten KI-Pentesting-Tools in einer Analyse. Wie Mitarbeiter von Aikido erklären, ist die Standardkonfiguration anfällig, mithin tausende Foren für Angriffe verwundbar. Unabhängig davon hat Dan Stefan Alexandru die Lücke und eine weitere ebenfalls aufgespürt.

Das phpBB-Team hat die Version 3.3.17 „Young Bertie“ veröffentlicht, die diese und weitere Lücken schließt, und bittet Foren-Admins um rasches Update der Software. Insgesamt stopft das Release vier Sicherheitslücken. Als kritisches Risiko gilt eine Umgehung der Authentifizierung, durch die Angreifer einen gültigen Session-Token als beliebiger aktiver Nutzer erhalten können. Mit einer einzigen HTTP-Anfrage, ohne vorherige Anmeldung. Damit lassen sich fremde Nutzerkonten übernehmen (CVE-2026-48611, CVSS 9.8, Risiko „kritisch“). Diese Sicherheitslücke haben die beiden Entdecker unabhängig aufgedeckt und gemeldet.

Mehrere Sicherheitslücken: Jetzt updaten

Die zweite erwähnte Schwachstelle betrifft die Prüfungen in der OAuth-Implementierung, sie bedingt eine Schwachstelle vom Typ „Cross Site Request Forgery“ (CSRF). Wenn Opfer auf einen präparierten Link der Angreifer klicken, ermöglicht es die Übernahme des Kontos (CVE-2026-48612, CVSS 8.0, Risiko „hoch“).

Details zu den Lücken will Aikido noch nicht veröffentlichen, damit Admins Zeit zum Updaten haben. Allerdings ist die gepatchte Version veröffentlicht und mit einem einfachen diff gelangen Kriminelle an die nötigen Informationen, welcher Code verändert wurde. Angriffe sind daher in Kürze zu erwarten.

(dmk)