PhpBB forum yazılımında, saldırganların, kimlik doğrulaması yapılmamış tek bir istekle ve parola olmadan, yöneticiler de dahil olmak üzere herhangi bir hesabı ele geçirmesine olanak tanıyan kritik bir kusur ortaya çıktı.
PTT-2026-004 olarak takip edilen ve CVSS ölçeğinde 9,4 olarak derecelendirilen kusurun resmi bir CVE kimliği bekleniyor. Kimlik doğrulama bypass'ı Pentest-Tools.com'dan Dan Stefan Alexandru tarafından keşfedildi ve 4 Haziran'da phpBB'ye bildirildi.
3.3.16'ya kadar olan her phpBB sürümü, varsayılan veritabanı kimlik doğrulama modunda etkilenir; bu, standart bir kurulumun kutudan çıktığı anlamına gelir. 4.0.0 alfa da savunmasızdır.
Detaylar ve Etkileri
Saldırıyı gerçekleştirmek yalnızca hedefin kullanıcı adını gerektirir. Varsayılan bir forumda üye listesi herkese açıktır, dolayısıyla bir saldırgan kurbanı seçmek için isimleri okuyabilir.
Hesap ele geçirme kusurları hakkında daha fazlasını okuyun: Kritik Uygulama Ustası Kusuru Hesap Devralmalarına Olanak Sağlıyor
Başarılı bir istek, saldırgana seçilen hesap olarak geçerli bir oturum verir. Kilidini açan şey kurbana bağlıdır:
Özel mesajlar ve hedeflenen kullanıcının görebileceği her türlü içerik
Uzmanların Görüşleri
Söz konusu kullanıcı yönetici ise forum genelinde tam okuma, yazma ve silme erişimi
Hala yöneticinin şifresini isteyen Yönetim Kontrol Paneline erişim yok
Bu son bariyer, davetsiz misafirin saldırısını ne kadar ileri götürebileceğini sınırlar, ancak forum düzeyindeki bir devralma nedeniyle halihazırda açığa çıkan özel içeriği ve üye verilerini korumak için hiçbir şey yapmaz.
Sistem Güvenliği
OAuth Girişlerinde İkinci Bir Kusur Etkileniyor
Gelecekte Ne Bekleniyor?
İkinci bir güvenlik açığı olan PTT-2026-005, varsayılan yerine Google, Facebook veya Bitly aracılığıyla OAuth girişini etkinleştiren panoları etkiliyor. 8.3 olarak derecelendirilen bu yazılım, siteler arası istek sahteciliği zayıflığını eksik OAuth durumu doğrulamasıyla zincirliyor.
Oturum açmış bir kurbanın hazırlanmış bir URL'yi yüklemesini sağlayan bir saldırgan, kendi OAuth kimlik bilgilerini kurbanın hesabına sessizce bağlayabilir ve böylece hiçbir tıklamaya gerek kalmadan hesabın tamamının ele geçirilmesini sağlayabilir. Bağlantı, bir gönderideki veya özel mesajdaki bir resim etiketinde gizlenebilir ve sayfa yüklenir yüklenmez tetiklenebilir.
Sonuç ve Değerlendirme
Kötü amaçlı bağlama, bir yönetici veya kurban bunu fark edip kaldırana kadar phpBB'nin veritabanında varlığını sürdürür.
phpBB, 6 Haziran'da yayımlanan 3.3.17 sürümünde her iki sorunu da düzeltti ve geliştiriciler, PTT-2026-004 için tek tam düzeltme olan, yöneticileri yükseltmeye çağırdı.
Nasıl Önlem Alınmalı?
Hemen yama yapamayan ve OAuth'u etkinleştiren kartlar, OAuth'u kapatıp veritabanı kimlik doğrulamasına geri dönerek ve ardından OAuth hesap tablosunu kimsenin tanımadığı girişler için denetleyerek ikinci açığı kapatabilir.